Tillsynsberedskap för kommunledning

Dokumentation för tillsyn

• Certifikat för varje ledningsperson – visar genomförd beredskap

• 7 checklistor som dokumenterar er tillsynsberedskap

• 6 arbetsverktyg inkl. ansvarsfördelning och incidentplan

Ledningens förståelse

• Vad NIS2 kräver av kommuner

• Vem som ansvarar för vad – nämnd, förvaltning, IT och leverantörer

• Vad som händer vid incident och tillsyn

• Hur ni bygger business case för säkerhetsinvesteringar

Politisk trygghet

• Bonusdel för förtroendevalda (30–45 min, ingår i kommunlicens)

• Nämnden förstår sitt ansvar utan 6 timmars program

• Dokumentation som håller vid politisk granskning

• 7 delar + bonusdel för förtroendevalda

• 30–40 minuter per del, uppdelat i 3–4 avsnitt

• Totalt ca 5–6 timmar exkl. bonusdel

• Professionell ljudberättelse genom hela programmet

• 2–3 scenarier per del från kommunal verksamhet

• Kunskapskontroll per del + avslutande prov

• Digitalt certifikat vid godkänt resultat

Inga tekniska förkunskaper krävs. Programmet är utformat för kommunledning, inte IT-specialister.

Licenspriser (introduktionspris t.o.m. 30 juni 2026)

Enskilda köp

Kostnaden för att inte agera

Ledningens ansvar och vad som står på spel

• Kommunens roll som samhällskritisk aktör

• Varför kommuner är attraktiva mål för cyberattacker

• Svenska incidenter – vad gick fel och vad kan vi lära

• Ledningens personliga ansvar enligt NIS2

• Översikt: NIS2 och tillsynens krav på kommunledningen

• Scenario: Ransomware slår ut kommunens system en fredagkväll – vilka beslut måste fattas och av vem

• Scenario: Förvaltningarna tycker att IT ska "fixa säkerheten" – hur vänder ni det

• Checklista: Är informationssäkerhet en ledningsfråga i vår kommun

Regelverket och dess krav på kommunal verksamhet

• Varför offentlig förvaltning klassificeras som "väsentlig verksamhet"

• Vilka förvaltningar och verksamheter som omfattas

• De tio riskhanteringsåtgärderna i kommunal kontext

• Incidentrapportering: tidskrav 24h/72h/1 månad

• MSB:s tillsyn – vad de frågar efter

• Scenario: Nämnden har delegerat säkerhetsansvaret till förvaltningschefen – räcker det vid tillsyn

• Scenario: En kommun tror att bara IT-avdelningen omfattas – stämmer det

• Arbetsverktyg: NIS2 klassificeringsguide för kommuner (PDF)

Roller, ansvar, leverantörer och samverkan

• Nämndens ansvar enligt kommunallagen och NIS2

• Förvaltningschefens operativa ansvar

• IT-avdelningens roll – stöd, inte ansvar

• Kommunala bolag – eget ansvar eller del av kommunen

• Vem ansvarar när leverantören drabbas

• Hur ansvaret fördelas vid gemensam IT-drift – vad kommunen alltid ansvarar för oavsett vem som driftar

• Scenario: Er skolplattformsleverantör drabbas av intrång – vad är ert ansvar

• Scenario: "IT-förbundet sköter driften, så vi är säkra" – stämmer det

• Arbetsverktyg: Mall för ansvarsfördelning + 10 frågor till era kritiska leverantörer (PDF)

Dokumentationskrav och vanliga brister

• NIS2, ISO 27001, GDPR, kommunallagen – hur de kompletterar varandra

• ISO 27001: certifiering vs implementation – vad behöver kommunen

• SKR:s rekommendationer och KLASSA

• MSB:s tillsyn vs IMY:s tillsyn vs kommunens egen revision

• Vad saknas typiskt: dokument, rutiner och beslut

• Scenario: Ni har rutiner för GDPR – räcker det för NIS2

• Arbetsverktyg: Mappning NIS2, ISO 27001, GDPR, kommunallagen (PDF)

Incidenthantering och ledningens roll

• Cyberincident i kommun innebär kris för samhällsservice

• Tidskraven: NIS2 (24h till MSB) och GDPR (72h till IMY)

• De första timmarna: vad händer och vem agerar

• Kommunikation mot invånare, media och politik

• Krisledningsnämndens roll vid allvarliga incidenter

• Samverkan med MSB, Polisen och andra myndigheter

• Scenario: Ransomware slår ut kommunens system – vad händer de första timmarna

• Scenario: Media ringer om en dataläcka – vem svarar

• Arbetsverktyg: Incidentens första 24 timmar (PDF)

Vad MSB tittar på och vad som händer vid brister

• MSB:s NIS2-tillsyn – vad de frågar efter

• IMY:s GDPR-tillsyn – vanliga brister i kommuner

• Vad händer vid brister: anmärkning, föreläggande och sanktion

• Sanktionsnivåer och tidsramar

• Att bygga "audit trail" i kommunal miljö

• Scenario: MSB aviserar NIS2-tillsyn – vad gör ni de första dagarna

• Scenario: Revisionen har anmärkt på informationssäkerheten – hur hänger det ihop med NIS2

• Checklista: Tillsynsberedskap för kommuner

Gap-analys, prioritering och budgetunderlag

• Gap-analys: var står kommunen idag

• Kritiska system – vad måste skyddas först

• Quick wins: åtgärder som ger snabb effekt

• Budgetdialog: riskkostnad vs investering

• Beslutsunderlag: formuleringar som fungerar mot politiker

• Förankring hos nämnd och kommunstyrelse

• Scenario: IT vill ha 3 MSEK för säkerhet, politiken säger nej – hur bygger ni ett beslutsunderlag

• Scenario: Politiken vill veta "är vi säkra?" – hur svarar ni på det

• Arbetsverktyg: Mall för beslutsunderlag till nämnd (PDF)

NIS2 och informationssäkerhet – det nämnden måste veta

Ingår i kommunlicens. Ger förtroendevalda den förståelse de behöver för att fatta beslut – utan 6 timmars program.

• Nämndens ansvar enligt lag

• Tre beslut nämnden kommer behöva fatta

• Frågor ni bör ställa till förvaltningen

• Vad som händer vid tillsyn och sanktioner

• Checklista: Nämndens ansvar (1 sida)