ExempelNordhamn Energi AB är fiktivt. Den här rapporten visar hur CyberKlar levererar för ett verkligt bolag.

Exempelrapport · NIS2 + Cybersäkerhetslagen

Nordhamn Energi AB,
audit-ready på 60 dagar

Det här är en fiktiv exempelrapport. Den visar exakt vad ni får när CyberKlar gör samma sak för er: klassning, gap mot Art. 21(2), 60-dagarsplan, styrelsebeslut, granskningslogg och CERT-SE-incidentmall. Inget formulär. Ingen inloggning. Den här länken kan delas med kollegan eller styrelsen.

Starta er bedömning · 8 min Hoppa till granskningsloggen

Bilaga I · EnergiVäsentlig entitetTillsyn · Energimyndigheten47 kontroller bedömda

Rapport · NIS2 + SFS 2025:15062026-04-12

Audit
ready
dag 60

Beslut 2026/04

Nordhamn Energi AB

Väsentlig entitet · Energi · Tillsyn Energimyndigheten

Prioriterade gap
3av 47 kontroller
Plan
8 vtill audit-ready
Styrelsebeslut
1beslut 2026/04
Audit-logg
0kritiska luckor

Hash · a4f2…d019Sealad i granskningslogg

Illustration. Nordhamn Energi AB är fiktivtExempel

Organisation: Nordhamn Energi AB (exempel)
Sektor: Energi · Bilaga I
Klassning: Väsentlig entitet
Tillsyn: Energimyndigheten

Org.nr: 556xxx-xxxx (fiktivt)
Direktiv: NIS2 (2022/2555) · SFS 2025:1506
Rapport genererad: 2026-04-12
NIS2-Officer: Jonas K. (CyberKlar)

Sektion 2 · Klassning

Varför Nordhamn Energi är väsentlig entitet

Klassningen följer 2 kap. 4 § Cybersäkerhetslagen (SFS 2025:1506) och Bilaga I till NIS2-direktivet. Konsekvensen styr både tillsynsmyndighet och rapporteringstider till CERT-SE.

Anställda

612

tröskel 250

Omsättning

1,2 mdkr

tröskel 50 m€

Underlag

Väsentlig entitet

Anställda: 612 (över 250, tröskel för väsentlig entitet)
Omsättning: 1,2 mdkr (över 50 m euro)
Verksamhet: Producent och distributör av el (Bilaga I, punkt 1)
Konsekvens: Väsentlig entitet, tillsyn av Energimyndigheten, rapportering till CERT-SE inom 24, 72 och 30 dagar enligt 5 kap. 2 §
Ledning: Personligt ansvar enligt 4 kap. 1 §. Sanktionsavgift upp till 2 % av global omsättning eller 10 miljoner euro vid grov överträdelse.

Sektion 3 · Gap-analys

Tre prioriterade gap mot Art. 21(2)

Bedömningen baseras på era svar i NIS2-Quiz, en dokumentkontroll och en kort intervju med er IT-chef. Vi listar bara de tre gap som har högst effekt på audit-utfallet, inte hela kontrollistan på 47 punkter. Den fulla listan finns i plattformen.

2 hög1 medel0 lågBedömt mot Art. 21(2) bokstäverna a till j

Gap	Art. 21(2)	Allvarlighet	Vecka i planen
Saknar incidenthanteringsprocess med eskalering	21(2)(b)	Hög	Vecka 1
Backup ej testad senaste 12 månaderna	21(2)(c)	Hög	Vecka 2
Ingen leverantörsbedömning av OT-system	21(2)(d)	Medel	Vecka 4

Sektion 4 · 60-dagarsplan

Vecka för vecka, från scope till audit-ready

Planen är åtta veckor lång eftersom Cybersäkerhetslagen kräver det första styrelsegodkända beslutet innan ni kan anses audit-ready. Vi kör enbart över mejl och plattformen. Audit-ready-garantin gäller dag 60: når ni inte målet förlängs avtalet utan extra kostnad eller pengarna tillbaka via Stripe. Klicka på en vecka för att se konkreta deliverables.

Vecka 0
Vecka 1
Vecka 2
Vecka 3
Vecka 4
Vecka 5
Vecka 6
Vecka 7
Vecka 8

Vecka 0
Scope-möte och rollkartläggning
Mejlväxling där ni utser NIS2-Officer, ledningsföreträdare och systemägare. Inga möten ni behöver kalla till.
- Rollmatris (NIS2-Officer, ledning, systemägare, dataskyddsombud)
- Lista över kritiska system och tredjepartsleverantörer
- Kontaktvägar för CERT-SE-rapportering
Vecka 1
Incidenthantering
Process, kontaktvägar och färdig CERT-SE-mall för 24/72/30-dagarsrapportering enligt 5 kap. 2 § Cybersäkerhetslagen.
- Incidentpolicy med eskaleringskedja
- CERT-SE-mall (T+24, T+72, T+30 dagar) inlagd i plattformen
- Tabell med rollansvar per incidentklass
Vecka 2
Backup och återställning
Bevis, testkörning och dokumenterad återställningstid för kritiska system enligt Art. 21(2)(c).
- Backup-policy med RPO och RTO per system
- Bevis från senaste återställningstest
- Logg av testkörning, hashad och sealed i granskningsloggen
Vecka 3
Leverantörsregister och OT-klausuler
Inventering av tredjeparts- och OT-leverantörer med säkerhetsklausuler enligt Art. 21(2)(d).
- Leverantörsregister med risk- och kritikalitetsnivå
- OT-specifika kontraktsklausuler (incident, åtkomst, audit-rätt)
- Bedömning av underleverantörer i kritiska kedjor
Vecka 4
Riskanalys enligt Art. 21(2) bokstäverna a till j
Strukturerad genomgång av samtliga tio riskhanteringsåtgärder med dokumenterad bedömning per kontroll.
- Riskregister med ägare per risk
- Bedömning a till j med åtgärdsplan
- Underlag till styrelsens cybersäkerhetsstrategi
Vecka 5
Utbildning ledning och nyckelpersoner
Ledningsansvar enligt 4 kap. 1 § plus AI-förordningen Art. 4 (AI-kompetens). Genomförs via plattformen.
- Utbildningsbevis per styrelseledamot
- AI Literacy Statement enligt Art. 4
- Granskningsbar logg över genomförda moduler
Vecka 6
Policyer och styrelsebeslut
Cybersäkerhetsstrategi, åtkomstpolicy och incidentpolicy antas formellt av styrelsen.
- Cybersäkerhetsstrategi (1 sida, antagen av styrelsen)
- Åtkomst- och behörighetspolicy
- Styrelsebeslut 2026/04 med signaturrad
Vecka 7
Granskningslogg och audit-bevis
Append-only-loggen aktiveras för rapporter, beslut och policyändringar. Auditor får full export.
- Granskningslogg på databasnivå (constraint trigger blockerar UPDATE/DELETE)
- Export-rutin för JSON och CSV med tidsstämpel
- Hashning per loggpost för spårbar integritet
Vecka 8
Audit-ready-attest
Tio audit-ready-kriterier kontrolleras och attesteras. 60-dagarsgarantin utvärderas mot Stripe-betalningen.
- Audit-ready-attest (sammanställning av samtliga kontroller)
- Slutrapport till ledningen och styrelsen
- Utvärdering av 60-dagarsgarantin enligt avtalet

Sektion 5 · Styrelsebeslut

Beslut 2026/04, cybersäkerhetsstrategi

Förhandsvisning av styrelsebeslutet i tre tydliga zoner: beslutsmening, underlag och signaturrad. Plattformen genererar dokumentet automatiskt från gap-analysen och 60-dagarsplanen.

Styrelseprotokoll · Beslut 2026/04 · 2026-04-12

Cybersäkerhetsstrategi enligt SFS 2025:1506

Styrelsen godkänner att Nordhamn Energi AB antar bifogad cybersäkerhetsstrategi med tillhörande riskhanteringsåtgärder enligt NIS2-direktivet Art. 21(2). Strategin ses över årligen och vid större förändringar i verksamheten eller hotbilden.

Underlag

· Riskanalys daterad 2026-04-10
· Gap-analys mot Art. 21(2) bokstäverna a till j
· 60-dagarsplan med utpekade åtgärdsansvariga
· Granskningslogg, append-only, aktiverad 2026-04-05

Signaturer

Ordförande

Datum:

Sekreterare

Datum:

Exempel-PDF utan signaturer. Kunder genererar sin egen från plattformen.

Ladda ner PDF-utkast

Sektion 6 · Granskningslogg

Tre rader ur er append-only-logg

Loggen ligger på databasnivå med en constraint trigger som blockerar UPDATE och DELETE. Vi själva kan inte ändra historiken, inte ens med admin-konto. Auditor får hela exporten som JSON eller CSV, tidsstämplad och hash-länkad. Kolumnerna nedan är identiska med den ni ser i plattformen.

Tidpunkt	Användare	Åtgärd	Entitet	Detaljer
2026-04-12 09:14:22	jonas.k@cyberklar.se	Skapade styrelsebeslut	board_decision · 2026/04	hash: a4f2…d019
2026-04-12 09:14:22	system	Sealade hash i append-only-tabell	audit_seal · 2026/04	hash: b1c7…e802
2026-04-13 13:02:55	maria.l@nordhamn-energi.se	Godkände beslut	board_decision · 2026/04	hash: 7e8a…ff19

Sektion 7 · CERT-SE-incidentmall

Från upptäckt till T+24h

CERT-SE tar emot förvarning enligt 5 kap. 2 § Cybersäkerhetslagen inom 24 timmar från att ni klassat händelsen som betydande. CyberKlar fyller i mallen automatiskt med fält ni redan har i systemet. Ni granskar och skickar.

T+0Upptäckt och intern triage
T+1hBeslut om allvarlighetsklass
T+4hFörvarning till CERT-SE skickas
T+24hTidig rapport till CERT-SE

Tidpunkt	Vad händer	AnsvarVem ansvarar	Bevis iBevis sparas i
T+0	Upptäckt och intern triage	IT-vakt	Incidentpost, system
T+1h	Beslut om allvarlighetsklass	Säkerhetsansvarig	Incidentpost, fält klass
T+4h	Förvarning till CERT-SE skickas	NIS2-Officer	CERT-SE-utgående mejl
T+24h	Tidig rapport till CERT-SE	NIS2-Officer	CERT-SE-portal och bekräftelse

Nästa steg

Den här rapporten är inte er. Er egen tar 8 minuter att starta.

Ni svarar på 12 frågor om sektor, omsättning, kontroller och leverantörer. Vi mejlar ett utkast inom 24 timmar. Ni läser. Vi pratar via mejl. Inga möten i den här fasen.

Starta bedömning · 8 min Mejla oss en fråga

Nordhamn Energi AB är ett fiktivt bolag. Författare: CyberKlar.

Läser in

Nordhamn Energi AB,
audit-ready på 60 dagar

Bilaga I · EnergiVäsentlig entitetTillsyn · Energimyndigheten47 kontroller bedömda

Gap

Art. 21(2)

Allvarlighet

Vecka i planen

Saknar incidenthanteringsprocess med eskalering

21(2)(b)

Hög

Vecka 1

Backup ej testad senaste 12 månaderna

21(2)(c)

Hög

Vecka 2

Ingen leverantörsbedömning av OT-system

21(2)(d)

Medel

Vecka 4

Vecka för vecka, från scope till audit-ready

Tidpunkt

Användare

Åtgärd

Entitet

Detaljer

2026-04-12 09:14:22

jonas.k@cyberklar.se

Skapade styrelsebeslut

board_decision · 2026/04

hash: a4f2…d019

2026-04-12 09:14:22

system

Sealade hash i append-only-tabell

audit_seal · 2026/04

hash: b1c7…e802

2026-04-13 13:02:55

maria.l@nordhamn-energi.se

Godkände beslut

board_decision · 2026/04

hash: 7e8a…ff19

Tidpunkt

Vad händer

AnsvarVem ansvarar

Bevis iBevis sparas i

T+0

Upptäckt och intern triage

IT-vakt

Incidentpost, system

T+1h

Beslut om allvarlighetsklass

Säkerhetsansvarig

Incidentpost, fält klass

T+4h

Förvarning till CERT-SE skickas

NIS2-Officer

CERT-SE-utgående mejl

T+24h

Tidig rapport till CERT-SE

NIS2-Officer

CERT-SE-portal och bekräftelse