NIS2 är EU:s uppdaterade regelverk för cybersäkerhet som ställer skärpta krav på hur organisationer skyddar sina nätverk och tjänster. Det handlar inte bara om teknik utan också om styrning, ansvar och rapportering. I den här artikeln får du en klar bild av vad NIS2 innebär, vem som berörs och hur du praktiskt kan börja arbeta strukturerat med efterlevnad.
NIS2 gäller för fler sektorer än tidigare, bland annat energi, hälso- och sjukvård, transport, livsmedel, dricksvatten, avfallshantering, digital infrastruktur, offentliga förvaltningar samt vissa digitala tjänster. Både så kallade väsentliga och viktiga enheter omfattas, vilket i praktiken inkluderar fler medelstora företag än många tror. Om du exempelvis levererar IT-drift till ett sjukhus eller driver ett datacenter med samhällskritiska kunder är sannolikheten hög att du träffas av reglerna.
Kärnan i kraven kan sammanfattas i ett riskbaserat säkerhetsarbete: du ska förstå dina risker, införa lämpliga tekniska och organisatoriska kontroller, och kunna visa hur du följer upp dem. Det inkluderar bland annat styrning på ledningsnivå, incidenthantering, kontinuitetsplanering, leverantörsstyrning, sårbarhetshantering och säker utveckling. Ett konkret exempel: en medelstor vattenleverantör bör ha en dokumenterad riskanalys, segmenterad OT/IT-miljö, multifaktorautentisering för fjärråtkomst, uppdaterade patchrutiner och en övad incidentplan med tydliga kontaktvägar.
Rapportering är en annan viktig del. Betydande incidenter ska föranmälas snabbt, ofta inom 24 timmar, följas av mer detaljerad rapport inom 72 timmar och en slutrapport när orsaken är utredd. Poängen är inte att hitta syndabockar, utan att minimera skada och sprida lärdomar. En lärdom från verkligheten är att de organisationer som i förväg definierat vad som räknas som rapporteringspliktig incident fattar snabbare beslut när trycket ökar.
Börja med en gap-analys mot nis2 direktivet. Kartlägg var ni står i dag: policyer, tekniska kontroller, roller, leverantörsavtal och incidentprocesser. Prioritera sedan åtgärder efter risk och genomförbarhet. En enkel 90-dagarsplan kan ge stor effekt: vecka 1–2 definiera styrning och ansvar, vecka 3–6 täppa till högriskluckor som MFA och säkerhetsloggning, vecka 7–10 etablera incidentprocess och rapporteringsflöde, vecka 11–12 öva scenarier tillsammans med leverantörer.
Tänk helhet: tekniska skydd utan fungerande processer hjälper lite, och tvärtom. Ett praktiskt tips är att koppla kontroller till etablerade ramverk som ISO 27001 eller CIS Controls. Det gör det lättare att mäta mognad och förklara framsteg för ledningen. För mindre verksamheter kan en säkerhetsplattform som samlar sårbarhetsskanning, loggning och ärendehantering i ett gränssnitt spara både tid och pengar, förutsatt att roller och ansvar är tydliga.
Glöm inte leverantörskedjan. Inventera kritiska leverantörer, ställ minimikrav i avtalen och be om bevis på efterlevnad, till exempel revisionsrapporter eller mognadsbedömningar. Ett vanligt misstag är att anta att molnleverantören tar helhetsansvaret. I praktiken är ansvaret delat, och du behöver tydligt definiera vem som gör vad vid en incident, hur loggar delas och hur snabbt åtgärder ska genomföras.
Sammanfattningsvis är NIS2 en möjlighet att bygga robusta arbetssätt som tål både teknikskiften och bemanningsförändringar. Genom att börja med en ärlig nulägesbild, säkra ledningens mandat och fokusera på de största riskerna kan du snabbt höja motståndskraften. Vill du komma vidare, starta med en kort gap-analys och en workshop med berörda roller. Därifrån blir vägen mot efterlevnad konkret, mätbar och betydligt mindre överväldigande.