Vilka organisationer träffas?

NIS2 delar in berörda organisationer i två kategorier:

Väsentliga entiteter (Essential entities)

Organisationer inom sektorer som energi, transport, bank- och finans, hälso- och sjukvård, dricksvatten, digital infrastruktur och offentlig förvaltning. Dessa utsätts för proaktiv tillsyn — myndigheten behöver alltså inget misstanke om brist för att granska.

Viktiga entiteter (Important entities)

Organisationer inom sektorer som post, avfallshantering, kemi, livsmedel, tillverkning av medicintekniska produkter och digitala leverantörer (marknadsplatser, sökmotorer, sociala nätverk). Dessa granskas reaktivt, det vill säga vid incidenter eller indikationer på brister.

Storlekströskeln är 50+ anställda eller 10+ MEUR årsomsättning, men det finns undantag: DNS-leverantörer, TLD-registrar, leverantörer av betrodda tjänster och viss digital infrastruktur omfattas oavsett storlek.

> Opsio-perspektiv: Vi ser att många svenska organisationer underskattar sin exponering. En SaaS-leverantör som hanterar data åt ett sjukhus kan dras in via leveranskedjebestämmelserna. Börja med att kartlägga vilka av era kunder och partners som själva omfattas — det påverkar ofta era egna skyldigheter.

Steg-för-steg: Så implementerar du NIS2-efterlevnad

Steg 1: Scope- och gap-analys

Innan ni rör en enda policy behöver ni förstå var ni står. Det innebär:

1. Fastställ om ni omfattas. Kartlägg er sektortillhörighet och storlek mot NIS2:s definitioner. Inkludera dotterbolag och utländska enheter.

2. Inventera befintliga kontroller. Om ni redan har ISO/IEC 27001-certifiering eller arbetar enligt NIST CSF har ni en bra bas. Dokumentera vilka NIS2-krav som redan täcks.

3. Identifiera gap. Typiska gap vi ser hos svenska organisationer:

- Avsaknad av formaliserad incidentrapporteringsprocess med tidsgränser

- Ledningen har inte formellt godkänt riskhanteringsåtgärder

- Leverantörsriskbedömningar saknas eller är ad hoc

- Business continuity-planer är föråldrade eller otestade

Verktyg: Använd ENISA:s NIS2-vägledning som checklista. Komplettera med er tillsynsmyndighets (MSB eller sektorsspecifik myndighet) publicerade riktlinjer.

Steg 2: Riskhantering och säkerhetsåtgärder

NIS2 artikel 21 specificerar tio kategorier av åtgärder som alla berörda organisationer ska implementera:

1. Riskanalys och informationssäkerhetspolicy

2. Incidenthantering

3. Kontinuitetsplanering och krishantering

4. Leveranskedjesäkerhet

5. Säkerhet vid anskaffning, utveckling och underhåll av system

6. Processer för att bedöma åtgärdernas effektivitet

7. Grundläggande cyberhygienpraxis och utbildning

8. Kryptografipolicy och kryptering

9. Personalsäkerhet, åtkomstkontroll och tillgångshantering

10. Multifaktorautentisering och säkrad kommunikation

Praktiskt: Det handlar inte om att köpa en ny produkt för varje punkt. Det handlar om att ha dokumenterade, implementerade och testade processer. En organisation med AWS-arbetsbelastningar i eu-north-1 (Stockholm) kan exempelvis använda AWS Security Hub och GuardDuty som teknisk bas, men behöver komplettera med organisatoriska processer som ägandeskap, eskaleringsvägar och ledningens godkännande.

Molnsäkerhet

Steg 3: Incidentrapportering — bygg kedjan

NIS2:s tidslinjer är inte förhandlingsbara:

Vad krävs i praktiken:

• En incidentklassificeringsmodell som avgör om en incident är rapporteringspliktig
• Beredskapslista med kontaktuppgifter till CERT-SE, intern juridik, extern kommunikation och berörd tillsynsmyndighet
• Runbooks i ert ITSM-verktyg som automatiskt triggar rapporteringsflödet
• Regelbundna övningar — minst kvartalsvis tabletop-övning, årlig fullskalig simulering

> Opsio-perspektiv: Vår SOC i Karlstad hanterar incidentdetektering dygnet runt åt kunder. Den vanligaste bristen vi ser är inte teknisk — det är att organisationer saknar en tydlig eskaleringsväg från SOC-operatör till den person som har mandat att rapportera till myndigheter. Den kedjan måste vara dokumenterad, testad och känd av alla involverade.

Managerade molntjänster

Steg 4: Leveranskedjesäkerhet

Det här är det område där flest organisationer ligger efter. NIS2 kräver att ni:

• Identifierar era kritiska leverantörer och tredjepartstjänster
• Bedömer deras säkerhetsåtgärder (inte bara genom att skicka ett frågeformulär)
• Avtalsmässigt säkerställer att leverantörer uppfyller relevanta krav
• Kontinuerligt övervakar leverantörsrisker

Konkret: Om ni kör arbetsbelastningar hos en managerad tjänsteleverantör (MSP) som Opsio, bör ert avtal specificera ansvar enligt Shared Responsibility Model, incidentnotifieringstider, rätt till audit och krav på certifieringar (ISO 27001, SOC 2).

Steg 5: Ledningens engagemang och utbildning

NIS2 artikel 20 är tydlig: ledningen ska godkänna riskhanteringsåtgärderna och kan hållas personligt ansvarig vid bristande efterlevnad. Det innebär:

• Styrelse och VD måste genomgå cybersäkerhetsutbildning — inte en generisk e-learning, utan utbildning anpassad till er organisations faktiska risker
• Riskbedömningar och åtgärdsplaner ska vara stående punkter på ledningsgruppens agenda
• Dokumentera beslut med styrelseprotokoll — det är er evidens vid en eventuell granskning

Steg 6: Testa, mät och förbättr

Efterlevnad är inte ett projekt med ett slutdatum. NIS2 kräver att ni regelbundet bedömer om era åtgärder är effektiva. Det innebär:

• Penetrationstester — minst årligen, gärna oftare för exponerade system
• Interna revisioner mot NIS2-kraven
• KPI:er som styrelsen faktiskt följer: MTTD (Mean Time to Detect), MTTR (Mean Time to Respond), andel system med MFA, patchstatus
• Kontinuerlig förbättring — dokumentera lärdomarna från varje incident och övning

Managerad DevOps

Sanktioner och tillsyn i Sverige

Integritetsskyddsmyndigheten (IMY) hanterar GDPR, men NIS2-tillsynen fördelas mellan sektorsspecifika myndigheter. MSB (Myndigheten för samhällsskydd och beredskap) har en central roll, men tillsynsansvar kan ligga hos exempelvis Energimyndigheten, Transportstyrelsen eller Finansinspektionen beroende på sektor.

Sanktionsnivåerna i NIS2 är avsedda att vara avskräckande:

Utöver ekonomiska sanktioner kan tillsynsmyndigheten utfärda förelägganden om åtgärder, tillfälligt förbjuda ledningspersoner från att utöva ledningsfunktioner, och offentliggöra beslut — vilket innebär reputationsrisk utöver den direkta kostnaden.

NIS2 och molninfrastruktur: vad molnkunder behöver tänka på

Att köra arbetsbelastningar i AWS, Azure eller Google Cloud fritar er inte från NIS2-ansvar. Shared Responsibility Model gäller: molnleverantören ansvarar för säkerheten av molnet, ni ansvarar för säkerheten i molnet.

Praktiska åtgärder för molnkunder:

• Aktivera och centralisera loggning (AWS CloudTrail, Azure Monitor, GCP Cloud Audit Logs) — utan loggar kan ni inte uppfylla incidentrapporteringskraven
• Implementera Infrastructure as Code (IaC) med Terraform eller CloudFormation för att säkerställa reproducerbar, granskningsbar konfiguration
• Använd Cloud FinOps för att undvika att kostnadspress leder till genvägar i säkerheten
• Konfigurera automatiserade compliance-kontroller med AWS Config, Azure Policy eller GCP Organization Policy
• Segmentera arbetsbelastningar som faller under NIS2 i dedikerade konton eller prenumerationer med strängare policyer

> Opsio-perspektiv: Vi hjälper kunder att bygga NIS2-anpassade landningszoner i AWS och Azure. Det vanligaste felet vi ser är att organisationer behandlar molnkonfiguration som en engångsinsats. NIS2 kräver kontinuerlig efterlevnad — det innebär automatiserade kontroller, inte manuella kvartalskontroller.

Molnmigrering

Tidslinje: vad borde vara klart nu?

NIS2-direktivet trädde i kraft den 16 januari 2023, med implementeringsdeadline för medlemsländerna den 17 oktober 2024. Den svenska cybersäkerhetslagen har antagits för att genomföra direktivet. Det innebär att:

• Nu (Q2 2026): Ni ska redan vara i efterlevnad eller ha en dokumenterad, tidssatt åtgärdsplan
• Tillsynsmyndigheter har börjat genomföra granskningar
• Incidenter som inträffar nu ska rapporteras enligt NIS2:s tidsramar

Om ni inte har påbörjat arbetet är det bråttom — men inte försent. En strukturerad gap-analys följd av prioriterad åtgärdsplan kan ge er en försvarbar position inom 3–6 månader, beroende på er nuvarande mognadsnivå.

Vanliga frågor

Vilka organisationer omfattas av NIS2 i Sverige?

NIS2 omfattar 18 sektorer indelade i väsentliga och viktiga entiteter. Exempel: energi, transport, hälso- och sjukvård, dricksvatten, digital infrastruktur, offentlig förvaltning och IKT-tjänstehantering. Medelstora och stora företag (50+ anställda eller 10+ MEUR omsättning) i dessa sektorer träffas. Vissa kritiska aktörer, som DNS-leverantörer och TLD-registrar, omfattas oavsett storlek.

Hur snabbt måste en säkerhetsincident rapporteras enligt NIS2?

En tidig varning ska skickas till CERT-SE inom 24 timmar efter att incidenten upptäckts. Inom 72 timmar krävs en fullständig incidentanmälan med initial bedömning av allvarlighetsgrad och påverkan. En slutrapport med grundorsaksanalys ska lämnas inom en månad.

Vad händer om vi inte uppfyller NIS2-kraven?

Väsentliga entiteter riskerar sanktioner upp till 10 miljoner euro eller 2 % av global årsomsättning — det högsta beloppet gäller. Viktiga entiteter riskerar 7 miljoner euro eller 1,4 %. Utöver böter kan tillsynsmyndigheten besluta om förelägganden, och ledningspersoner kan tillfälligt förbjudas från sina befattningar.

Vad är skillnaden mellan NIS1 och NIS2?

NIS2 utvidgar antalet sektorer från 7 till 18, inför hårdare sanktioner, kräver snabbare incidentrapportering (24 h + 72 h + 1 månad) och lägger personligt ansvar på ledningen. Dessutom harmoniseras kraven tydligare mellan EU:s medlemsländer och leveranskedjesäkerhet blir ett explicit krav.

Hur hänger NIS2 ihop med ISO 27001 och SOC 2?

NIS2 är lagkrav — ISO 27001 och SOC 2 är frivilliga ramverk. Men en organisation som redan har ett certifierat ISMS enligt ISO 27001 har en solid grund. Många av NIS2:s krav på riskhantering, incidenthantering och åtkomstkontroll överlappar med kontrollerna i ISO 27001 Annex A och SOC 2 Trust Service Criteria. Certifieringen ersätter dock inte NIS2-efterlevnad — ni behöver fortfarande säkerställa att ni uppfyller de specifika rapporterings- och ledningskraven.