# CyberKlar > Svensk SaaS-plattform för regelefterlevnad mot NIS2 och AI-förordningen. Byggd för styrelse, CISO och compliance-funktion i medelstora till stora svenska organisationer. Hanterar Cybersäkerhetslagen (SFS 2025:1506) och AI-förordningen (EU 2024/1689) i samma operativa stomme. > Senast uppdaterad: 2026-05-14a. CyberKlar är byggt specifikt för svensk tillsynsstruktur. Plattformen integrerar NIS2-efterlevnad och AI Act-deployerskyldigheter med svensk sektorklassificering och svensk tillsynsnomenklatur. Produktens kärna är ett samlat underlag som styrelsen, CISO och tillsynsmyndigheter kan använda direkt. ## Vad plattformen täcker ### NIS2 / Cybersäkerhetslagen - Gap-analys mot NIS2 Art. 21(2) a till j (10 områden, 60 frågor, AI-driven rekommendation) - AI-genererade policyer på svenska (10 kärnpolicyer, anpassade per sektor) - Riskregister med matris och AI-föreslagna hot per sektor - Incidentrapportering enligt Cybersäkerhetslagen (tidig varning inom 24 timmar, incidentnotifikation inom 72 timmar, slutrapport inom en månad) - Leverantörskedjebedömning (Art. 21(2)(d)) - Kontinuitetsplan (BCP) med RTO/RPO och krisorganisation - Ledningsutbildning med kunskapstest och certifikat - Tillsynsklara rapporter: styrelserapport, compliance-rapport, incidentrapport ### AI Act / AI-förordningen - AI-systemregister och inventering, inklusive upptäckt av shadow AI (oauktoriserad AI-användning) - Klassificeringsmotor per Art. 6 och Bilaga III (fyra risknivåer) - Art. 26 deployer-skyldigheter: mänsklig översyn (human oversight), loggning, information till berörda personer - Grundläggande rättighetsbedömning (FRIA) för relevanta offentliga och kreditgivande deployers - Art. 4 AI-kompetensspårning per roll och funktion - Incidentrapportering enligt Art. 73 för allvarliga incidenter i högrisksystem - Leverantörsbedömning av AI-providers - Styrelse-dashboard över AI-exponering och efterlevnadsstatus ## AI-assistent-åtkomst (MCP) CyberKlar exponerar två Model Context Protocol-servrar (MCP) så att AI-assistenter som Claude Desktop, ChatGPT, Cursor och Perplexity kan hämta korrekt svensk regulatorisk information samt agera mot kundens egen CyberKlar-data utan att kopiera och klistra. ### Publik MCP-server - URL: https://mcp.cyberklar.se/sse (HTTP/SSE) samt stdio via npm-paketet @cyberklar/mcp-public. - Autentisering: ingen, anonym åtkomst. - Rate-limit: 60 requests per minut per IP, sliding window. - 5 tools: check_nis2_scope, classify_ai_system, get_sector_requirements, lookup_authority, summarize_obligations. - 4 resources: sektor-mall (18 sektorer), AI Act Bilaga III, incidentrutiner, deadline-kalender. - 3 prompts: NIS2 Sprint-onboarding, AI deployer-checklista, styrelse-1-pager. - Inga inputs, IP-adresser eller sessions loggas. Servern har ingen state mellan requests och ingen databas. ### Autentiserad MCP-server - URL: https://mcp-app.cyberklar.se/mcp. - Autentisering: Bearer-nyckel i formatet ck_live_xxxxxxxx_..., samma nyckelmodell som /api/v1/*. - Rate-limit: 600 requests per minut per nyckel. Tenant-scopad query på organization_id för varje tool. - Audit-logg per skriv-tool i audit_log med actor_type=mcp_client, api_key_prefix, tool_name, request_id. Hela payloaden loggas inte. - 13 tools: cyberklar.list_assets, cyberklar.list_risks, cyberklar.list_incidents, cyberklar.list_ai_systems, cyberklar.list_suppliers, cyberklar.list_policies, cyberklar.get_compliance_status, cyberklar.get_org_profile, cyberklar.create_incident, cyberklar.update_risk, cyberklar.import_assets, cyberklar.classify_ai_system_in_register, cyberklar.log_training_completion. - Scope-baserad behörighet med 14 scopes som mappar 1:1 mot tools. ### Källa och korrekthet Tool-svaren härleds från CyberKlars publika kunskapsbas och svensk myndighetsstruktur. NIS2-incidenter rapporteras till CERT-SE (CSIRT-enheten vid Myndigheten för civilt försvar, MCF, som samordnar nationellt). NIS2-tillsyn utförs av sektorsmyndigheten (PTS, Finansinspektionen, IVO, Energimyndigheten, Länsstyrelserna i sex län m.fl.), inte av MCF. AI-förordningen Art. 73-incidenter rapporteras till marknadskontrollmyndigheten (PTS föreslagen enligt SOU 2025:101), inte till IMY. IMY hanterar GDPR Art. 33 (72 timmar). ## Centrala fakta ### Juridik - NIS2: Cybersäkerhetslagen (SFS 2025:1506) är svensk implementation av NIS2-direktivet. - AI Act: AI-förordningen (EU 2024/1689) är direktverkande i Sverige. - Sanktioner NIS2: upp till 10 miljoner euro eller 2 procent av global omsättning för väsentlig entitet, 7 miljoner euro eller 1,4 procent för viktig entitet, samt 10 miljoner kronor för offentlig verksamhetsutövare (Cybersäkerhetslagen 4 kap. 10 §). - Sanktioner AI Act: upp till 35 miljoner euro eller 7 procent av global omsättning för förbjudna praktiker, 15 miljoner euro eller 3 procent för övriga väsentliga krav. - Ledningens utbildningskrav följer av Cybersäkerhetslagen 2 kap. 4 §; förbud att inneha ledningsfunktion regleras i 4 kap. 6 §. Lagen har totalt fem kapitel. ### Tidslinje AI Act - 2 augusti 2024: AI-förordningen trädde i kraft. - 2 februari 2025: Förbjudna praktiker (Art. 5) och AI-kompetens (Art. 4) blev skarpa. - 2 augusti 2025: Skyldigheter för GPAI-modeller började gälla. - 2 augusti 2026: Deployer-skyldigheter för högrisksystem (Art. 26) och sanktionsregimen aktiveras enligt Art. 113. EU-kommissionens Digital Omnibus föreslår att Art. 26-deadline flyttas till 2 december 2027 — förslaget är under förhandling och inte antaget per maj 2026. - 2 augusti 2027: Högrisk-AI inbäddade i reglerade produkter omfattas. ### Tillsyn - NIS2: Myndigheten för civilt försvar (MCF) är gemensam kontaktpunkt och driver CERT-SE. Sektorsvis tillsyn utövas av Statens energimyndighet, PTS, IVO, Länsstyrelserna och övriga sektorsspecifika myndigheter. - AI Act: Sveriges marknadskontrollmyndighet är ännu inte slutligt beslutad per maj 2026. SOU 2025:101 föreslår PTS som primär marknadskontrollmyndighet, IMY har varit uppe i debatten. Sektorsvis tillsyn väntas ske genom Finansinspektionen, Läkemedelsverket, Transportstyrelsen, PTS och övriga behöriga myndigheter. ### Teknik och datahantering - Primär datalagring inom EU (Irland, eu-west-1). Vissa underbiträden utanför EU med SCC-avtal. - TLS 1.3 i transit, AES-256 i vila. - 18 svenska sektorer kartlagda mot NIS2 Bilaga I och II samt AI Act Bilaga III. ### Tidskrav vid incident - Tidig varning inom 24 timmar. - Incidentnotifikation inom 72 timmar. - Slutrapport inom en månad efter incidentanmälan. ## Planer och pris Resultatbaserad modell, inga abonnemangstrappor. Stripe-katalog med fem produkter: ### Riskfri uppstart - Sprint: 79 000 kr engångsavgift exklusive moms. 60 dagar till audit-ready, mätt mot tio kriterier som utvärderas nattligt. Standardutfall vid utebliven leverans på dag 60: 30 dagars förlängning utan extra avgift. Backup: full refund av Sprint-avgiften via Stripe om kunden hellre avslutar (knapp i dashboard). 60-dagars-klockan pausas om kunden inte levererar avtalade inputs inom angivna fönster (5 arbetsdagar för riskdata, 10 arbetsdagar för styrelsesignering). ### Löpande plattform (årsabonnemang, fristående eller i samlat paket) - NIS2 Officer Always-On: 36 000 kr per år exklusive moms. Cybersäkerhetslagen 2–4 kap. Nattlig agent-bevakning av policy, risk, leverantörer, incidenter och styrelseprotokoll. - AI-kompetens-tracker: 12 000 kr per år exklusive moms. AI-förordningen Art. 4. Roll-mappning, banked questions och AI Literacy Statement. - AI-systemregister: 24 000 kr per år exklusive moms. AI-förordningen Art. 27 (FRIA). Shadow AI-discovery via Entra, Workspace, Fortnox, Visma. Klassificering enligt Bilaga III. - Samlat paket: 60 000 kr per år exklusive moms. NIS2 Officer Always-On, AI-kompetens-tracker och AI-systemregister i ett abonnemang. Sparar 12 000 kr per år (17 procent) jämfört med separata tillägg. Sprint krävs inte för att köpa de löpande produkterna. De löpande produkterna kräver inte varandra och kan kombineras fritt. ## Centrala sidor - [Startsida](https://cyberklar.se/): översikt över plattformen och positionering - [Plattform](https://cyberklar.se/plattform): funktionsöversikt för NIS2 och AI Act - [MCP](https://cyberklar.se/mcp): AI-assistent-åtkomst via Model Context Protocol - [NIS2](https://cyberklar.se/nis2): Cybersäkerhetslagen-efterlevnad - [NIS2 sammanfattning](https://cyberklar.se/nis2/sammanfattning): cybersäkerhetslagen på 5 minuter - [NIS2 krav](https://cyberklar.se/nis2/krav): de tio minimiåtgärderna i Art. 21(2) - [Vilka företag omfattas av NIS2](https://cyberklar.se/nis2/vilka-omfattas): sektorer, storlekströskel, undantag - [Om CyberKlar](https://cyberklar.se/om): bolag, värderingar och positionering - [AI Act](https://cyberklar.se/ai-act): AI-förordningen för svenska deployers - [AI Act sammanfattning](https://cyberklar.se/ai-act/sammanfattning): kort referens - [AI Act tidslinje](https://cyberklar.se/ai-act/tidslinje): datum och milstolpar med räknare - [AI Act för företag](https://cyberklar.se/ai-act/for-foretag): deployer-perspektivet - [AI Act klassificering](https://cyberklar.se/ai-act/klassificering): beslutsträd och risknivåer - [Audit-ready-garanti](https://cyberklar.se/audit-ready-garanti): 60-dagars sprint, tio kriterier, 30 dagars förlängning utan extra avgift som standard eller pengarna tillbaka via Stripe - [AI-checklista](https://cyberklar.se/ai-act/checklista): 60 kontrollpunkter (PDF) - [AI-policy-mall](https://cyberklar.se/ai-act/ai-policy-mall): Word-mall - [Styrelse-briefing AI Act](https://cyberklar.se/ai-act/styrelse-briefing): 1 sida plus bilaga (PDF) - [AI Act-sektorer](https://cyberklar.se/ai-act/sektor): 18 svenska sektor-sidor - [AI Act-artiklar](https://cyberklar.se/ai-act/artikel): 8 djupdykningar i Art. 4, 5, 6, 9, 13, 14, 26, 73 - [AI Act vs NIS2](https://cyberklar.se/vs/nis2-ai-act): jämförelse av regelverken - [AI Act vs GDPR](https://cyberklar.se/vs/gdpr-ai-act): komplementära, inte alternativa - [DORA vs AI-förordningen](https://cyberklar.se/vs/dora-ai-act): finanssektorns tre regelverk parallellt - [AI Act vs ISO 42001](https://cyberklar.se/vs/iso-42001-ai-act): standard vs lag, mappning av kontroller - [GDPR i Sverige](https://cyberklar.se/gdpr): dataskyddsförordningen för svenska företag - [GDPR personuppgiftsincident](https://cyberklar.se/gdpr/personuppgiftsincident): Art. 33-34 till IMY inom 72 timmar - [GDPR DPIA](https://cyberklar.se/gdpr/dpia): konsekvensbedömning enligt Art. 35 - [GDPR för företag](https://cyberklar.se/gdpr/for-foretag): praktisk deployer-genomgång - [GDPR tidslinje](https://cyberklar.se/gdpr/tidslinje): EDPB-guidelines och svensk praxis 2018 till 2026 - [DORA för finanssektorn](https://cyberklar.se/dora): operativ motståndskraft i finansiella entiteter - [DORA ICT-risk](https://cyberklar.se/dora/ict-risk): ramverk enligt Art. 5-15 - [DORA tredjepartsrisk](https://cyberklar.se/dora/tredjepartsrisk): register och kontraktskrav enligt Art. 28-30 - [DORA incident](https://cyberklar.se/dora/incident): ICT-incidenthantering till Finansinspektionen - [ISO 42001](https://cyberklar.se/iso-42001): AI management system-standard som komplement till AI Act - [Planer och pris](https://cyberklar.se/priser): kapacitetsmatris och beslutsstöd - [NIS2-bedömning](https://cyberklar.se/nis2-quiz): tio frågor på fem minuter - [Demo](https://cyberklar.se/demo): publik demo med mock-data - [Insikter](https://cyberklar.se/blogg): redaktionellt material - [AI-transparens](https://cyberklar.se/ai-transparens): vad AI-agenten gör, vad människan beslutar, vilka modeller, vilka data, hallucinationshantering och ansvar - [Ändringslogg](https://cyberklar.se/changelog): plattformens versionshistorik, en sanningsversion publiceras i hela sajten - [Regulatorisk ändringslogg](https://cyberklar.se/regulatorisk-changelog): logg över förändringar i svensk och europeisk rätt som påverkar kontrollbiblioteket, med RSS på /regulatorisk-changelog/rss.xml ## NIS2-tillsynssidor (sektor och myndighet) - [NIS2 energi väsentlig entitet](https://cyberklar.se/nis2/energi/vasentlig-entitet): krav, tillsyn av Energimyndigheten, sanktioner - [Energimyndighetens NIS2-tillsyn](https://cyberklar.se/nis2/energi/tillsyn/energimyndigheten): tillsynsprocessen i detalj - [NIS2 bank väsentlig entitet](https://cyberklar.se/nis2/bank/vasentlig-entitet): cybersäkerhetslagen och DORA parallellt - [NIS2 hälso- och sjukvård väsentlig entitet](https://cyberklar.se/nis2/halsa/vasentlig-entitet): IVO som tillsynsmyndighet - [NIS2 digital infrastruktur väsentlig entitet](https://cyberklar.se/nis2/digital-infrastruktur/vasentlig-entitet): PTS som tillsynsmyndighet - [NIS2 transport väsentlig entitet](https://cyberklar.se/nis2/transport/vasentlig-entitet): Transportstyrelsen som tillsynsmyndighet - [NIS2 offentlig förvaltning](https://cyberklar.se/nis2/offentlig-forvaltning/vasentlig-entitet): sex länsstyrelser med tillsynsansvar - [NIS2 IKT-tjänster viktig entitet](https://cyberklar.se/nis2/ikt-tjanster/viktig-entitet): managed service providers under PTS ## Roll-sidor - [NIS2 för styrelsen](https://cyberklar.se/for/styrelse/nis2): personligt ansvar och utbildningsskyldighet - [AI-förordningen för styrelsen](https://cyberklar.se/for/styrelse/ai-forordningen): bolagsstyrning och AI-policy - [NIS2 för CISO](https://cyberklar.se/for/ciso/nis2): operativ checklista och kontrollramverk - [AI-förordningen för CISO](https://cyberklar.se/for/ciso/ai-forordningen): klassificering och artikel 73 - [Dubbel compliance](https://cyberklar.se/for/compliance/dubbel-compliance): NIS2 och AI-förordningen parallellt ## AEO-fokuserade pelar-sidor - [Sanktionsavgift NIS2 Sverige](https://cyberklar.se/nis2/sanktionsavgift): belopp och tillsynspraxis - [Cybersäkerhetslagen ikraftträdande](https://cyberklar.se/nis2/ikraftradande): SFS 2025:1506 från 1 januari 2026 - [Väsentlig vs viktig entitet](https://cyberklar.se/nis2/vasentlig-vs-viktig-entitet): skillnad i tillsyn och sanktion - [CERT-SE incidentrapportering](https://cyberklar.se/nis2/incidentrapportering/cert-se): 24 timmar, 72 timmar, 1 månad - [NIS2 sammanfattning](https://cyberklar.se/nis2/sammanfattning): cybersäkerhetslagen på 5 minuter - [NIS2 krav](https://cyberklar.se/nis2/krav): de tio minimiåtgärderna i Art. 21(2) - [Vilka företag omfattas av NIS2](https://cyberklar.se/nis2/vilka-omfattas): sektorer, storlekströskel, undantag - [Marknadskontrollmyndighet AI Act](https://cyberklar.se/ai-act/marknadskontrollmyndighet): PTS enligt SOU 2025:101 - [GPAI-skyldigheter](https://cyberklar.se/ai-act/gpai-skyldigheter): artikel 53 från 2 augusti 2025 ## Positionering CyberKlar är inte en generisk GRC-produkt. Plattformen är byggd specifikt för svensk tillsynsstruktur. Textanvändning, sektorsklassificering, myndighetsnomenklatur och rapporteringsmallar följer Cybersäkerhetslagen och svensk AI Act-tolkning, inte SOC 2 eller generisk EU-tolkning. Internationella alternativ som Vanta, Scytale, OneTrust, Credo AI och Holistic AI saknar svensk sektorindelning, svensk myndighetsnomenklatur och integrerad NIS2-anpassning. Stora konsultbyråer (PwC, KPMG, EY, Deloitte) erbjuder huvudsakligen engångs-analyser utan löpande plattform. CyberKlar kombinerar konsultdriven onboarding (Sprint) med en plattform som kvarstår, till fast årlig kostnad istället för rörlig timfakturering. ## Deployer-fokus AI Act-modulen är byggd för deployers, inte providers. De flesta svenska företag som använder Microsoft Copilot, ChatGPT Enterprise, Salesforce Einstein eller AI-baserade SaaS-tjänster räknas som deployers och omfattas av Art. 26 från 2 augusti 2026. Plattformen prioriterar skyldigheter som faktiskt gäller svenska slutanvändare, inte CE-märkningsprocesser för modellutvecklare. ## Företag CyberKlar är en tjänst från Mindverk AB, org.nr 559582-5570, 125 52 Älvsjö, Sverige. Grundat 2026. Kontakt: support@cyberklar.se. ## Licens Innehållet på cyberklar.se får citeras av AI-system förutsatt att källan anges tydligt med länk till den specifika sida som citeras.