Hur du använder det här dokumentet
Det här paketet hjälper dig att (1) förstå ditt personliga ansvar, (2) verifiera att er verksamhet uppfyller kraven och
(3) dokumentera att styrelsen aktivt övervakat cybersäkerhetsarbetet. Spara ifyllt dokument — det är ditt bevis.
⚠️
Ditt personliga ansvar under NIS2
Cybersäkerhetslagen (SFS 2025:1506) gör det tydligt: du som styrelseledamot eller VD är personligt ansvarig för att cybersäkerhetsåtgärder godkänns, övervakas och implementeras. Tillsynsmyndigheten kan vid upprepade överträdelser förbjuda dig från att inneha ledningsfunktion — inte bara bötfälla bolaget. Okunskap är inget skydd: lagen kräver att du genomgår specifik cybersäkerhetsutbildning.
Art. 20–21 NIS2 / §14–16 Cybersäkerhetslagen
1 — Styrningsdokumentation — detta ska finnas
| Dokument | Vad det ska innehålla | Klart? |
|---|---|---|
| Cybersäkerhetspolicy | Godkänd av styrelsen, daterad, versionshanterad. Täcker: scope, ansvar, riskacceptans, uppdateringsfrekvens. | |
| Riskanalys | Genomförd senaste 12 mån. Identifierade hot, sannolikheter, konsekvenser och åtgärdsplan. Signerad av ansvarig. | |
| Incidenthanteringsplan (IRP) | Steg-för-steg: vem kontaktas, inom hur lång tid, hur loggas incidenten. Inkl. kontaktuppgifter till MSB / sektormyndighet. | |
| Styrelseprotokoll med cybersäkerhetsagenda | Minst ett protokoll per år som visar att styrelsen aktivt behandlat cybersäkerhetsfrågor och godkänt åtgärder. | |
| Utbildningsbevis (styrelse + VD) | Intyg eller dokumentation på genomförd NIS2-relevant cybersäkerhetsutbildning för varje ledamot. | |
| Leverantörs- och kedjesäkerhetsregister | Lista över kritiska leverantörer, deras säkerhetsnivå, avtalskrav och senaste granskning. | |
| GAP-analys mot NIS2-kraven | Dokumenterad kartläggning av var ni är, var ni ska vara, och prioriterad åtgärdsplan med ägare och datum. |
Art. 21 NIS2
2 — Tekniska minimikrav — fråga din IT-avdelning
| Åtgärd | Varför det krävs | Klart? |
|---|---|---|
| Multi-faktorautentisering (MFA) | Skyddar mot lösenordsstöld — den vanligaste angreppsvektorn. Krav på alla kritiska system. | |
| Krypterad kommunikation | E-post och intern kommunikation med känslig information ska krypteras i transit och i vila. | |
| Testade säkerhetskopior | Regelbundna backuper är inget om man inte testat återställning. Dokumentera senaste test. | |
| Patchning och uppdateringsrutin | Kända sårbarheter måste åtgärdas systematiskt. Dokumenterat schema krävs. | |
| Åtkomstkontroll (minsta behörighet) | Anställda ska bara ha tillgång till det de behöver. Dokumenterade rättigheter och offboarding-rutin. | |
| Loggning och övervakning | Loggar måste sparas tillräckligt länge för att kunna utreda en incident i efterhand. |
God styrningspraxis
3 — Frågor du bör ställa på nästa styrelsemöte
- Kan vi idag visa revisorn eller tillsynsmyndigheten att vi uppfyller NIS2-kraven — med dokumentation?
- Vem är ansvarig för att incidentrapporten skickas till MSB inom 24 timmar om något händer i natt?
- Har vi testat vår incidenthanteringsplan under de senaste 12 månaderna — och har vi ett protokoll på det?
- Vilka av våra leverantörer har tillgång till våra kritiska system, och har vi granskat deras säkerhetsnivå?
- Har samtliga styrelseledamöter genomgått den cybersäkerhetsutbildning som lagen kräver?
- Vad är vår maximala bötesrisk enligt NIS2, och är det känt för styrelsen?
- Har vi en cybersäkerhetsförsäkring — och vet vi om den faktiskt gäller om vi inte är NIS2-efterlevna?
Art. 23 NIS2
4 — Rapporteringstider vid en incident — klistra upp detta
| Tidsfrist | Vad ska rapporteras | Till vem |
|---|---|---|
| Inom 24 timmar | Tidig varning — indikation om att en incident inträffat. Preliminär bedömning. | MSB eller relevant sektormyndighet |
| Inom 72 timmar | Incidentanmälan — mer detaljerad information om händelsen, påverkan och åtgärder. | MSB eller relevant sektormyndighet |
| Inom 1 månad | Slutrapport — fullständig analys, rotorsak, vidtagna åtgärder och lärdomar. | MSB eller relevant sektormyndighet |
Obs: Missad rapportering kan i sig ge böter, oberoende av incidentens allvar. Kontaktuppgifter till MSB: msb.se · 010-240 40 00
Styrelseprotokoll — underskrift
Fyll i och bifoga till styrelsemötesprotokoll. Dokumenterar att styrelsen aktivt behandlat och godkänt cybersäkerhetsarbetet.
Vill du ha hjälp att fylla i gapen?
Lämna din kontaktuppgifter så hör vi av oss — kostnadsfritt samtal, ingen förpliktelse.