NIS2 Självskattning — SWEPO Group
NIS2 Självskattning
Kostnadsfritt verktyg

Uppfyller ert företag
NIS2-direktivets krav?

Gå igenom de 24 kraven, markera det ni redan har på plats och ladda ned en sammanställning av era luckor — med prioriterade åtgärdsförslag.

Ca 5–10 minuter 24 krav · 6 områden PDF-rapport ingår
Berörs ni?

NIS2 gäller verksamheter inom energi, transport, bank, hälsa, dricksvatten, digital infrastruktur, IT-tjänster, offentlig förvaltning, livsmedel och tillverkning med minst 50 anställda eller omsättning över 10 M€ — samt deras underleverantörer.

0 / 24
Klicka i varje krav ni uppfyller Resultatet uppdateras i realtid
Kritisk exponering — åtgärder behövs snarast

Er organisation saknar grundläggande NIS2-krav. Vid en incident eller tillsynsgranskning riskerar ni böter upp till 10 miljoner euro eller 2 % av omsättningen, samt krav på verksamhetsstopp. Ladda ned rapporten och kontakta SWEPO för en kostnadsfri genomgång.

Betydande luckor — en strukturerad åtgärdsplan behövs

Ni har tagit viktiga steg men har fortfarande luckor som innebär risk vid tillsyn. Ladda ned rapporten för att se exakt vad som saknas och i vilken ordning det bör åtgärdas.

God grund — säkerställ detaljerna

Ni har en solid bas. Många organisationer klarar grovgranskningen men faller på dokumentationskrav och faktiska tester. Ladda ned rapporten och låt SWEPO göra en djupare granskning.

1. Styrning och ansvar
Ledningens roll och formellt säkerhetsansvar
0/4
Ledningen har formellt tagit ansvar för informationssäkerhetenHög risk

NIS2 kräver att styrelse och ledning aktivt godkänner och övervakar säkerhetsåtgärder. Ansvar kan inte delegeras bort helt.

Det finns en utsedd person med ansvar för informationssäkerhetHög risk

Kan vara intern (CISO, IT-chef) eller extern (t.ex. SWEPO som extern säkerhetsfunktion). Rollen måste vara namngiven.

Det finns en dokumenterad informationssäkerhetspolicyMedel risk

Policyn ska beskriva mål, ansvar, klassificering av information och grundläggande säkerhetsregler. Godkänd av ledningen.

Ledningen genomgår regelbunden utbildning i cybersäkerhet och NIS2-kravMedel risk

NIS2 specificerar att ledningspersoner ska ha tillräcklig kunskap för att bedöma risker. Utbildning ska dokumenteras.

2. Riskhantering
Riskanalys, inventering och leverantörskedja
0/4
En dokumenterad riskanalys för informationssäkerhet är genomfördHög risk

Ska identifiera hot, sårbarheter och konsekvenser. Uppdateras minst en gång per år eller vid väsentliga förändringar.

Det finns en inventering av kritiska system, data och processerHög risk

Ni vet vilka system och data som är affärskritiska, var de finns och vem som har tillgång till dem.

Leverantörer och underleverantörer ingår i riskbedömningenMedel risk

Supply chain-säkerhet är ett explicit NIS2-krav. Ni ska kunna visa att ni bedömt era leverantörers säkerhetsnivå.

Åtgärdsplan finns för identifierade risker med ägare och tidplanMedel risk

Det räcker inte att identifiera risker — det krävs dokumenterade beslut om hur de ska hanteras och vem som ansvarar.

3. Tekniska skyddsåtgärder
MFA, backup, kryptering och åtkomststyrning
0/5
Multifaktorautentisering (MFA) är aktiverat på alla kritiska systemHög risk

NIS2 kräver MFA som grundläggande skyddsåtgärd. Gäller e-post, VPN, administrativa system och molntjänster.

Regelbundna säkerhetskopior tas och återställning testasHög risk

Backup ska vara krypterad, geografiskt separerad och testas för återställning minst kvartalsvis.

Kryptering används för känslig data — i transit och i vilaMedel risk

All känslig kommunikation och lagring av personuppgifter och affärskritisk information ska krypteras.

Åtkomst styrs av principen om minsta möjliga behörighetMedel risk

Anställda har tillgång till det de behöver — inte mer. Administratörsbehörigheter är begränsade och granskas regelbundet.

Patch- och sårbarhetshantering är strukturerad och dokumenteradMedel risk

Kritiska säkerhetsuppdateringar installeras inom definierad tidsfrist (t.ex. 72 timmar för kritiska, 30 dagar för övriga).

4. Incidenthantering
Planer, rapportering och loggning
0/4
Det finns en dokumenterad incidenthanteringsplanHög risk

Planen ska beskriva vad som klassas som en incident, vem som beslutar, hur eskalering sker och vad som kommuniceras — och till vem.

Ni vet hur och när ni ska rapportera incidenter till NCSC-SE / tillsynsmyndighetHög risk

NIS2 kräver förhandsvarning inom 24 timmar och fullständig rapport inom 72 timmar efter att en allvarlig incident upptäckts.

Incidenter loggas och analyseras systematisktMedel risk

Logghantering ska säkerställa spårbarhet. Loggar ska skyddas mot manipulation och bevaras under minst 12 månader.

Incidenthanteringsplanen har testats genom övning eller simuleringMedel risk

En plan som aldrig testats fungerar sällan i skarpt läge. Tabletop-övningar en gång per år är tillräckligt.

5. Kontinuitet och krisförmåga
BCP, DRP och krisledning
0/4
En kontinuitetsplan (BCP) finns för kritiska verksamhetsprocesserHög risk

Planen beskriver hur verksamheten fortsätter vid avbrott. NIS2 kräver dokumenterade RTO och RPO-mål.

En IT-katastrofplan (DRP) finns och har testatsHög risk

Ni kan återställa kritiska IT-system inom definierad tid. Återställningstiden är dokumenterad och verifierad i praktiken.

Krisledningsorganisationen är utsedd och känd av berördaMedel risk

Vem leder arbetet vid en allvarlig incident? Beslutsvägar och kommunikationsansvar ska vara definierade och övade.

Planer för kriskommunikation finns — internt och externtMedel risk

Hur informeras anställda, kunder, leverantörer och media vid en incident? Mallar och kontaktlistor ska finnas tillgängliga offline.

6. Personal och säkerhetskultur
Utbildning, bakgrundskontroller och offboarding
0/3
All personal genomgår regelbunden säkerhetsutbildningHög risk

Phishing, lösenordshygien, hantering av känslig information. Utbildning ska dokumenteras.

Bakgrundskontroller genomförs för personal med tillgång till känsliga systemMedel risk

Gäller särskilt IT-personal, ekonomi och ledning. Ska vara proportionerlig mot den risk respektive roll innebär.

Rutiner finns för när anställda slutar — omedelbar avstängning av åtkomstMedel risk

Åtkomst till system, e-post och lokaler ska återkallas omedelbart vid avslut. En av de vanligaste och mest underskattade säkerhetsriskerna.

SWEPO Group swepogroup.se · info@swepogroup.se