← Back
Gap-analys för cybersäkerhetslagen
Policy
Security
Technology
Strategy
International
🛡️
CVE Intelligence
Loading CVE data...
Gap-analys för cybersäkerhetslagen: så kartlägger ni er beredskap
Varför gap-analysen är första steget
Många organisationer vet att de omfattas av den nya cybersäkerhetslagen men färre vet exakt var de står. Vilka krav uppfyller ni redan? Var finns luckorna? Och vad kostar det att täppa till dem?
Den 15 januari 2026 trädde den svenska cybersäkerhetslagen i kraft. Lagen genomför EU:s NIS2-direktiv och innebär skärpta krav på cybersäkerhet för organisationer i 18 sektorer – från energi och transport till bank, hälso- och sjukvård samt digital infrastruktur. I Sverige är det Myndigheten för civilt försvar, MCF, som är ansvarig tillsynsmyndighet och som har tagit fram de föreskrifter och vägledningar som konkretiserar lagens krav. För många organisationer är det en betydande utvidgning jämfört med den tidigare NIS-lagen.
En gap-analys ger er svaren. Genom att systematiskt jämföra er nuvarande informationssäkerhet med MCF:s krav identifierar ni exakt var det finns luckor och kan prioritera åtgärder utifrån verklig risk snarare än gissningar. Analysen ger också ett tydligt underlag när styrelse och ledning frågar ”Var står vi?”: vilka kontroller finns redan på plats, vilka saknas helt och vilka kräver förstärkning.
För organisationer som omfattas av lagen är en gap-analys inte bara en sund förberedelse – den är startpunkten för ett trovärdigt och strukturerat efterlevnadsarbete.
Cybersäkerhetslagens krav i korthet
Cybersäkerhetslagen bygger på artikel 21 i NIS2-direktivet och ställer, enligt MCF:s föreskrifter, krav inom sju huvudområden:
- Riskhantering och policyer: Tydliga processer för att identifiera, bedöma och hantera risker i nätverks- och informationssystem.
- Incidenthantering: Dokumenterade rutiner för att upptäcka, hantera och rapportera incidenter. Tidslinje: underrättelse inom 24 timmar, detaljerad rapport inom 72 timmar, slutrapport inom 30 dagar – allt rapporteras till MCF eller berörd sektorsmyndighet.
- Affärskontinuitet: Dokumenterade planer och backup-rutiner för att upprätthålla eller snabbt återställa verksamheten efter en incident.
- Leverantörssäkerhet: Hantering av säkerhetsrisker hos leverantörer och underleverantörer med tillgång till era kritiska system eller data.
- Säker anskaffning och utveckling: Krav på säker hantering under hela livscykeln för IT-system.
- Kryptering och åtkomstkontroll: Obligatorisk MFA där det är tekniskt möjligt, samt kryptografi för att skydda data.
- Ledningens ansvar: Styrelse och högsta ledning är personligt ansvariga för efterlevnad – de måste godkänna åtgärder, följa upp och delta i utbildning.
Organisationer som inte efterlever lagen riskerar sanktionsavgifter på upp till 10 miljoner euro eller 2 procent av den globala årsomsättningen, beroende på vilket som är högst.
Fem steg för en strukturerad gap-analys
1. Fastställ om ni omfattas och definiera scope
Börja med att bekräfta om er organisation klassas som väsentlig eller viktig enligt lagen. Cybersäkerhetlagen har breddat omfattningen kraftigt och många som inte påverkades tidigare gör det nu. Kontrollera om er verksamhet faller inom någon av de 18 sektorerna och uppfyller storlekskraven. Definiera sedan vilka system, processer och juridiska enheter, inklusive OT-system, molntjänster och externa leverantörer som ska ingå i analysen.
2. Kartlägg nuläget
Samla in all relevant dokumentation: informationssäkerhetspolicyer, riskanalyser, incidenthanteringsrutiner, kontinuitetsplaner, leverantörsavtal och teknisk konfiguration (MFA, nätverkssegmentering, kryptering). Komplettera med intervjuer och workshops med IT-, säkerhets- och riskfunktioner för att förstå hur säkerhetsarbetet faktiskt fungerar, inte bara hur det är dokumenterat.
3. Jämför nuläget mot MCF:s krav
Mappa era befintliga kontroller mot kraven i cybersäkerhetslagen och MCF:s föreskrifter. För varje område bedömer ni om kravet är uppfyllt, delvis uppfyllt eller inte uppfyllt. Vanliga luckor som många organisationer identifierar är bristfällig dokumentation av leverantörssäkerhet, avsaknad av MFA på alla åtkomstpunkter, otestade kontinuitetsplaner och otydligt ansvar för incidentrapportering.
ENISA:s implementeringsvägledning och ramverk som ISO 27001 kan användas som baslinje och underlätta mappningen, eftersom de täcker liknande kontroller.
4. Värdera risknivån för varje lucka
Bedöm vilken risk varje lucka innebär utifrån tre faktorer: sannolikhet (hur troligt är det att luckan leder till en incident?), konsekvens (ekonomisk, operativ och regulatorisk påverkan) samt komplexitet och tid (hur lång tid tar det att åtgärda?). Den riskbaserade prioriteringen gör att ni fokuserar på det som ger störst skydd och regelefterlevnad först.
5. Skapa en åtgärdsplan
Analysen avslutas med en konkret handlingsplan som visar vilka kontroller som ska implementeras, vem som är ansvarig och när det ska vara klart. För varje åtgärd anges prioritet (hög, medel, låg), ansvarig person eller funktion, tidslinje och resursbehov.
Eftersom cybersäkerhetslagen gör styrelse och ledning personligt ansvariga är det avgörande att de godkänner planen och följer upp genomförandet regelbundet. Åtgärdsplanen blir också ert viktigaste underlag i dialogen med MCF och eventuella tillsynsmyndigheter.
Behandla gap-analysen som en löpande process
En gap-analys är inte en engångsaktivitet. När de mest kritiska luckorna är åtgärdade fortsätter arbetet: kontrollera att åtgärderna fungerar i praktiken, och fånga upp nya risker när verksamheten förändras. MCF:s krav utgår från ett kontinuerligt riskhanteringsarbete, och gap-analysen blir därmed en naturlig del av er årliga cykel av kontroller och revidering eller inför större förändringar som nya system, förvärv eller regulatoriska uppdateringar.
Hur Seadot stödjer er gap-analys och Cybersäkerhetslagens-beredskap
Seadot Cybersecurity arbetar med organisationer som behöver stärka sin digitala operationella resiliens och uppfylla regulatoriska krav. Genom vår kompetens inom informationssäkerhet, IT-säkerhet och regelefterlevnad hjälper vi er genomföra en strukturerad gap-analys mot cybersäkerhetslagen och MCF:s föreskrifter.
Vi kartlägger era befintliga kontroller, identifierar luckor och prioriterar åtgärder utifrån verksamhetens förutsättningar och risknivå. Resultatet är en tydlig roadmap från nuläge till full efterlevnad och ett konkret underlag för ledningens beslut och resursallokering.
Vi stödjer också implementering av åtgärderna, till exempel genom att utforma policyer och rutiner, införa ISO 27001 eller bygga upp strukturer för incidenthantering och leverantörssäkerhet. Vår erfarenhet sträcker sig över DORA, Cybersäkerhetslagen och andra EU-ramverk, vilket gör att vi kan hjälpa organisationer navigera komplexa krav och bygga hållbara säkerhetsprogram.
Börja med gap-analysen nu
Cybersäkerhetslagen och MCF:s krav ställer höga förväntningar på er organisation. En gap-analys är det mest effektiva sättet att få kontroll: ni identifierar vad som behöver göras, prioriterar rätt och skapar en realistisk plan för att komma dit.
Analysen visar också för styrelse och tillsynsmyndigheter inklusive MCF att ni tar efterlevnad på allvar. Det är inte bara ett formellt krav, utan ett aktivt val att stärka er organisations cybersäkerhet och operationella motståndskraft på lång sikt.
Fastställ omfattning, kartlägg nuläget, jämför mot kraven och bygg en åtgärdsplan som tar er hela vägen dit.
Varför gap-analysen är första steget
Många organisationer vet att de omfattas av den nya cybersäkerhetslagen men färre vet exakt var de står. Vilka krav uppfyller ni redan? Var finns luckorna? Och vad kostar det att täppa till dem?
Den 15 januari 2026 trädde den svenska cybersäkerhetslagen i kraft. Lagen genomför EU:s NIS2-direktiv och innebär skärpta krav på cybersäkerhet för organisationer i 18 sektorer – från energi och transport till bank, hälso- och sjukvård samt digital infrastruktur. I Sverige är det Myndigheten för civilt försvar, MCF, som är ansvarig tillsynsmyndighet och som har tagit fram de föreskrifter och vägledningar som konkretiserar lagens krav. För många organisationer är det en betydande utvidgning jämfört med den tidigare NIS-lagen.
En gap-analys ger er svaren. Genom att systematiskt jämföra er nuvarande informationssäkerhet med MCF:s krav identifierar ni exakt var det finns luckor och kan prioritera åtgärder utifrån verklig risk snarare än gissningar. Analysen ger också ett tydligt underlag när styrelse och ledning frågar ”Var står vi?”: vilka kontroller finns redan på plats, vilka saknas helt och vilka kräver förstärkning.
För organisationer som omfattas av lagen är en gap-analys inte bara en sund förberedelse – den är startpunkten för ett trovärdigt och strukturerat efterlevnadsarbete.
Cybersäkerhetslagens krav i korthet
Cybersäkerhetslagen bygger på artikel 21 i NIS2-direktivet och ställer, enligt MCF:s föreskrifter, krav inom sju huvudområden:
- Riskhantering och policyer: Tydliga processer för att identifiera, bedöma och hantera risker i nätverks- och informationssystem.
- Incidenthantering: Dokumenterade rutiner för att upptäcka, hantera och rapportera incidenter. Tidslinje: underrättelse inom 24 timmar, detaljerad rapport inom 72 timmar, slutrapport inom 30 dagar – allt rapporteras till MCF eller berörd sektorsmyndighet.
- Affärskontinuitet: Dokumenterade planer och backup-rutiner för att upprätthålla eller snabbt återställa verksamheten efter en incident.
- Leverantörssäkerhet: Hantering av säkerhetsrisker hos leverantörer och underleverantörer med tillgång till era kritiska system eller data.
- Säker anskaffning och utveckling: Krav på säker hantering under hela livscykeln för IT-system.
- Kryptering och åtkomstkontroll: Obligatorisk MFA där det är tekniskt möjligt, samt kryptografi för att skydda data.
- Ledningens ansvar: Styrelse och högsta ledning är personligt ansvariga för efterlevnad – de måste godkänna åtgärder, följa upp och delta i utbildning.
Organisationer som inte efterlever lagen riskerar sanktionsavgifter på upp till 10 miljoner euro eller 2 procent av den globala årsomsättningen, beroende på vilket som är högst.
Fem steg för en strukturerad gap-analys
1. Fastställ om ni omfattas och definiera scope
Börja med att bekräfta om er organisation klassas som väsentlig eller viktig enligt lagen. Cybersäkerhetlagen har breddat omfattningen kraftigt och många som inte påverkades tidigare gör det nu. Kontrollera om er verksamhet faller inom någon av de 18 sektorerna och uppfyller storlekskraven. Definiera sedan vilka system, processer och juridiska enheter, inklusive OT-system, molntjänster och externa leverantörer som ska ingå i analysen.
2. Kartlägg nuläget
Samla in all relevant dokumentation: informationssäkerhetspolicyer, riskanalyser, incidenthanteringsrutiner, kontinuitetsplaner, leverantörsavtal och teknisk konfiguration (MFA, nätverkssegmentering, kryptering). Komplettera med intervjuer och workshops med IT-, säkerhets- och riskfunktioner för att förstå hur säkerhetsarbetet faktiskt fungerar, inte bara hur det är dokumenterat.
3. Jämför nuläget mot MCF:s krav
Mappa era befintliga kontroller mot kraven i cybersäkerhetslagen och MCF:s föreskrifter. För varje område bedömer ni om kravet är uppfyllt, delvis uppfyllt eller inte uppfyllt. Vanliga luckor som många organisationer identifierar är bristfällig dokumentation av leverantörssäkerhet, avsaknad av MFA på alla åtkomstpunkter, otestade kontinuitetsplaner och otydligt ansvar för incidentrapportering.
ENISA:s implementeringsvägledning och ramverk som ISO 27001 kan användas som baslinje och underlätta mappningen, eftersom de täcker liknande kontroller.
4. Värdera risknivån för varje lucka
Bedöm vilken risk varje lucka innebär utifrån tre faktorer: sannolikhet (hur troligt är det att luckan leder till en incident?), konsekvens (ekonomisk, operativ och regulatorisk påverkan) samt komplexitet och tid (hur lång tid tar det att åtgärda?). Den riskbaserade prioriteringen gör att ni fokuserar på det som ger störst skydd och regelefterlevnad först.
5. Skapa en åtgärdsplan
Analysen avslutas med en konkret handlingsplan som visar vilka kontroller som ska implementeras, vem som är ansvarig och när det ska vara klart. För varje åtgärd anges prioritet (hög, medel, låg), ansvarig person eller funktion, tidslinje och resursbehov.
Eftersom cybersäkerhetslagen gör styrelse och ledning personligt ansvariga är det avgörande att de godkänner planen och följer upp genomförandet regelbundet. Åtgärdsplanen blir också ert viktigaste underlag i dialogen med MCF och eventuella tillsynsmyndigheter.
Behandla gap-analysen som en löpande process
En gap-analys är inte en engångsaktivitet. När de mest kritiska luckorna är åtgärdade fortsätter arbetet: kontrollera att åtgärderna fungerar i praktiken, och fånga upp nya risker när verksamheten förändras. MCF:s krav utgår från ett kontinuerligt riskhanteringsarbete, och gap-analysen blir därmed en naturlig del av er årliga cykel av kontroller och revidering eller inför större förändringar som nya system, förvärv eller regulatoriska uppdateringar.
Hur Seadot stödjer er gap-analys och Cybersäkerhetslagens-beredskap
Seadot Cybersecurity arbetar med organisationer som behöver stärka sin digitala operationella resiliens och uppfylla regulatoriska krav. Genom vår kompetens inom informationssäkerhet, IT-säkerhet och regelefterlevnad hjälper vi er genomföra en strukturerad gap-analys mot cybersäkerhetslagen och MCF:s föreskrifter.
Vi kartlägger era befintliga kontroller, identifierar luckor och prioriterar åtgärder utifrån verksamhetens förutsättningar och risknivå. Resultatet är en tydlig roadmap från nuläge till full efterlevnad och ett konkret underlag för ledningens beslut och resursallokering.
Vi stödjer också implementering av åtgärderna, till exempel genom att utforma policyer och rutiner, införa ISO 27001 eller bygga upp strukturer för incidenthantering och leverantörssäkerhet. Vår erfarenhet sträcker sig över DORA, Cybersäkerhetslagen och andra EU-ramverk, vilket gör att vi kan hjälpa organisationer navigera komplexa krav och bygga hållbara säkerhetsprogram.
Börja med gap-analysen nu
Cybersäkerhetslagen och MCF:s krav ställer höga förväntningar på er organisation. En gap-analys är det mest effektiva sättet att få kontroll: ni identifierar vad som behöver göras, prioriterar rätt och skapar en realistisk plan för att komma dit.
Analysen visar också för styrelse och tillsynsmyndigheter inklusive MCF att ni tar efterlevnad på allvar. Det är inte bara ett formellt krav, utan ett aktivt val att stärka er organisations cybersäkerhet och operationella motståndskraft på lång sikt.
Fastställ omfattning, kartlägg nuläget, jämför mot kraven och bygg en åtgärdsplan som tar er hela vägen dit.