NIS2-termometern
Quizens framsteg
1 / 15
Termometern är ett bedömningsverktyg med 15 frågor som hjälper er att utvärdera hur väl er verksamhet uppfyller kraven i NIS2-direktivet.
Denna bedömning är informell och endast avsedd som vägledning. Resultaten ersätter inte en formell revision eller rådgivning gällande NIS2-lagstiftningen. Syndis tar inget ansvar för bedömningens riktighet eller användning.
Fråga 1
Har cheferna/management fått utbildning om sitt ansvar och riskhantering relaterat till cybersäkerhetsfrågor?
Fråga 2
Har en riskbedömning utförts och åtgärder vidtagits för att säkerställa säkerhetsnivån för nätverks- och informationssystem?
Fråga 3
Finns det policyer för riskbedömning och säkerhet för informationssystem?
Fråga 4
Övervakas den tekniska miljön för säkerhetsincidenter, och hanteras det på ett sätt som säkerställer snabb analys, bearbetning och aviseringar?
Fråga 5
Har en plan för kontinuitet i verksamheten dokumenterats och testas den regelbundet i scenarioövningar?
Fråga 6
Utförs riskanalyser när ni väljer tjänsteleverantörer (inkl mjukvaror), samt säkerställs det att dessa parter uppfyller relevanta säkerhetskrav?
Fråga 7
Är säkerhetskrav en del av upphandlingsprocessen för nätverks- och informationssystem, såsom krav på uppdateringar, tillverkarsupport, säkra konfigurationer?
Fråga 8
Utför ni regelbundna interna revisioner och penetrationstester?
Fråga 9
Får personalen regelbunden utbildning om vikten av och grunderna i cybersäkerhet?
Fråga 10
Finns det policyer och rutiner som definierar krav för användning av kryptering där det är tillämpligt?
Fråga 11
Bedöms bakgrund och kompetens hos nyanställd personal vid rekrytering, registreras säkerhetsuppgifter i anställningsavtal, och finns processer för on- och offboarding?
Fråga 12
Har regler för åtkomstkontroll upprättats och omprövas åtkomst regelbundet?
Fråga 13
Finns det en uppdaterad förteckning över enheter och programvara som är kopplade till cybersäkerhet?
Fråga 14
Krävs multifaktorautentisering (MFA) för inloggning, åtminstone till kritiska/känsliga system?
Fråga 15
Är röst-, bild- och textkommunikation inom organisationen skyddad, och har alternativa eller nödvändiga reservkommunikationskanaler definierats?
Rött
Åtgärder krävs omgående.
Resultatet tyder på att det saknas väsentliga delar för att er verksamhet ska uppfylla kraven i NIS2. Den nuvarande statusen innebär en risk, både vad gäller datasäkerhet och potentiella sanktionsavgifter enligt den gällande lagstiftningen. Men misströsta inte – genom att agera omedelbart kan ni snabbt påbörja arbetet mot efterlevnad.
Rekommendation: Arbetet med att stärka verksamhetens informationssäkerhet måste inledas utan dröjsmål. Vi rekommenderar att ni bokar ett möte med en rådgivare från Syndis snarast möjligt för att kartlägga nuläget och upprätta en konkret handlingsplan för en säkrare framtid.
Gult
God grund men åtgärder krävs.
Ni är på rätt väg och uppfyller en del av kraven, men svaren tyder på att viktiga delar saknas för att ni ska nå full efterlevnad av NIS2. Det kan finnas brister i riskhantering, incidenthantering eller utbildning av personal som behöver ses över.
Rekommendation: Nu är rätt tid att överbrygga klyftan. Vi rekommenderar starkt en formell GAP-analys. Där går vi igenom vad som saknas och tar fram en handlingsplan för att säkerställa att ni uppfyller lagens krav så snart som möjligt.
Grönt
Bra jobbat! Ni verkar vara väl förberedda.
Era svar tyder på att er verksamhet har ett starkt säkerhetsskydd och processer som väl matchar kraven i NIS2. Ni har kommit längre än de flesta och lagt en god grund för en säker drift.
Rekommendation: Även om utgångsläget är bra är det viktigt att inte slappna av. NIS2 kräver kontinuerlig förbättring och uppföljning. Nästa steg är att låta en oberoende part verifiera er status genom en säkerhetsrevision eller ett penetrationstest för att säkerställa att försvaret håller när det väl gäller.
Vanliga frågor och svar
NIS2 är ett omfattande regelverk och det är naturligt att frågor uppstår. Här har vi sammanställt svaren på de vanligaste frågorna från beslutsfattare, för att ge en tydligare bild av vad förändringarna innebär för er verksamhet.
Vad är NIS2 i korthet?
NIS2 är ett EU-direktiv som syftar till att stärka cybersäkerheten för kritisk infrastruktur och viktiga tjänster. Direktivet ersätter de tidigare NIS-reglerna och ställer betydligt högre krav på riskhantering, incidentrapportering och kontinuitetsplanering. Målet är att säkerställa en gemensam hög säkerhetsnivå inom hela EU/EES-området.
Omfattas min verksamhet av NIS2?
NIS2 breddar tillämpningsområdet avsevärt jämfört med tidigare lagstiftning. Reglerna omfattar nu fler sektorer, såsom energi, transport, hälso- och sjukvård, finans, digital infrastruktur, offentlig förvaltning och livsmedelsproduktion. Generellt gäller detta verksamheter med fler än 50 anställda eller en årsomsättning över 10 miljoner euro, men undantag finns för särskilt kritiska aktörer oavsett storlek. Verksamheter delas in i "väsentliga" (essential) och "viktiga" (important) entiteter beroende på verksamhetens art.
Vilka är konsekvenserna om vi inte uppfyller kraven?
Sanktionerna för brott mot NIS2 kan vara stränga. Tillsynsmyndigheter har befogenhet att utfärda sanktionsavgifter som kan uppgå till 10 miljoner euro eller 2 % av den totala globala årsomsättningen (det belopp som är högst) för väsentliga entiteter. Dessutom läggs ett ökat ansvar på ledningen (styrelse och VD), som kan hållas personligt ansvariga om säkerhetsåtgärderna brister.
När trädde lagen i kraft i Sverige?
NIS2-direktivet implementerades i svensk lagstiftning den 15 januari 2026. Det innebär att lagen nu är aktiv och att verksamheter som omfattas förväntas efterleva de nya kraven på riskhantering och rapportering.
Vad gör vi efter att ha använt NIS2-termometern?
Termometern ger er en ögonblicksbild av nuläget, men nästa steg är att genomföra en formell GAP-analys. Där går man igenom era nuvarande säkerhetsåtgärder, policyer och processer på djupet för att identifiera exakt vad som saknas för att uppnå full efterlevnad av NIS2. Syndis kan bistå med denna analys och hjälpa er att bygga upp det säkerhetsarbete som krävs.