Vem omfattas — och varför det är bredare än du tror

NIS 2 delar in organisationer i två kategorier med olika tillsynsintensitet men i praktiken likartade säkerhetskrav:

Leveranskedjan: den underskattade exponeringen

Det som överraskar flest organisationer är kedjeeffekten. Även om ditt företag inte direkt uppfyller storlekströsklarna kan du omfattas om du levererar tjänster till en väsentlig eller viktig entitet. NIS 2 kräver att dessa entiteter aktivt hanterar cybersäkerhetsrisker i sin leveranskedja — vilket i praktiken innebär att deras krav rullas nedåt till dig.

Vi ser detta dagligen hos Opsios kunder: en underleverantör med 30 anställda som levererar driftövervakning till ett energibolag får plötsligt ett NIS 2-frågeformulär i sin inkorg. De organisationer som redan har ISO 27001 eller SOC 2 klarar sig bättre, men NIS 2 kräver mer specifika åtgärder kring incidentrapportering och leveranskedjeinsyn.

Molnsäkerhet som stödjer NIS 2-krav

De centrala kraven: vad NIS 2 faktiskt kräver

Artikel 21 i direktivet specificerar tio områden som organisationer måste adressera. Här är de i praktisk ordning, med kommentarer om vad vi ser som de vanligaste bristerna.

1. Riskhantering och säkerhetspolicyer

Du behöver en dokumenterad riskhanteringsprocess som täcker alla informationssystem. Det räcker inte med en policy som uppdateras årligen — NIS 2 förväntar sig kontinuerlig riskbedömning som återspeglar aktuella hotbilder.

Vanlig brist: Riskregister som inte uppdaterats på 18 månader och som inte inkluderar molninfrastruktur.

2. Incidenthantering

NIS 2 inför ett trestegsförfarande för incidentrapportering som är betydligt strängare än vad de flesta svenska organisationer är vana vid:

• Tidig varning: Inom 24 timmar efter att en signifikant incident upptäcks
• Incidentanmälan: Inom 72 timmar med initial bedömning av allvarlighetsgrad och påverkan
• Slutrapport: Inom en månad med rotorsaksanalys och vidtagna åtgärder

Vanlig brist: Avsaknad av definierade tröskelvärden för vad som utgör en "signifikant incident", vilket leder till antingen överrapportering eller underrapportering.

3. Driftskontinuitet och krishantering

Backup-hantering, katastrofåterställning och krishantering ska vara dokumenterade, testade och integrerade med incidenthanteringsprocessen. NIS 2 pekar explicit på behovet av att säkerställa att verksamheten kan fortsätta under och efter en cyberincident.

4. Leveranskedjesäkerhet

Organisationer ska bedöma och hantera cybersäkerhetsrisker kopplade till sina leverantörer. Det inkluderar att ställa säkerhetskrav i avtal, genomföra riskbedömningar och följa upp efterlevnad.

Vanlig brist: Avtal med molnleverantörer som saknar specifika säkerhets-SLA:er och rätt till revision.

5. Säkerhet vid anskaffning, utveckling och underhåll av system

Säkerhet ska byggas in från start i alla system — inte läggas till efteråt. Det inkluderar sårbarhetshanterings- och patchprocesser.

6. Kryptografi och kryptering

Direktivet kräver policyer för kryptografisk kontroll och, där så är lämpligt, kryptering. I praktiken innebär det kryptering av data i vila och under transport, samt nyckelhanteringspolicyer.

7. Åtkomstkontroll och identitetshantering

Flerfaktorsautentisering (MFA) nämns explicit i direktivet. Minst privilegiumprincipen, rollbaserad åtkomstkontroll och regelbunden granskning av behörigheter är grundkrav.

8. Ledningens ansvar och utbildning

Styrelse och ledning ska godkänna säkerhetsåtgärderna, övervaka implementeringen och genomgå regelbunden cybersäkerhetsutbildning. Det här är inte en delegation som kan skjutas ned i organisationen.

Svensk implementering: cybersäkerhetslagen

Sverige implementerar NIS 2 genom den nya cybersäkerhetslagen, som ersätter den tidigare lagen om informationssäkerhet för samhällsviktiga och digitala tjänster (NIS-lagen). Några svenska särdrag att ha koll på:

Tillsynsmyndigheter. Flera myndigheter delar tillsynen beroende på sektor — Energimyndigheten, Transportstyrelsen, Finansinspektionen, IVO med flera. MSB (Myndigheten för samhällsskydd och beredskap) har en samordnande roll och CSIRT-funktion.

IMY:s roll. Integritetsskyddsmyndigheten överlappar med NIS 2 där personuppgiftsincidenter också utgör cybersäkerhetsincidenter. Organisationer behöver samordna sin rapportering mellan GDPR:s 72-timmarsregel och NIS 2:s 24-timmarsvarning.

Datalagring. Svenska krav på datalagring och GDPR:s principer om dataminimering ska balanseras mot NIS 2:s krav på loggning och spårbarhet. Vi rekommenderar att data lagras inom EU, helst i eu-north-1 (Stockholm) eller Sweden Central, för att förenkla regelefterlevnaden.

Managerade molntjänster med svensk datalagring

Praktisk implementering: från gap-analys till efterlevnad

Baserat på erfarenheterna från Opsios SOC/NOC-team, som arbetar med NIS 2-förberedelser hos kunder sedan direktivet antogs, rekommenderar vi följande femstegsmodell:

Steg 1: Scopeanalys (vecka 1–2)

Fastställ om och hur din organisation omfattas. Kartlägg vilka tjänster och system som faller inom NIS 2:s tillämpningsområde. Glöm inte att analysera rollen som leverantör — även om din organisation inte direkt omfattas kan kundkrav göra NIS 2-efterlevnad till ett affärskritiskt krav.

Steg 2: Gap-analys mot befintliga ramverk (vecka 3–6)

Om ni redan har ISO/IEC 27001 eller SOC 2 har ni en solid grund. NIS 2 överlapper till stor del med dessa ramverk, men kräver mer specifika åtgärder inom:

• Incidentrapporteringens tidskrav (24/72 timmar)
• Ledningens formella ansvar och utbildning
• Leveranskedjeriskhantering
• Aktiv samverkan med tillsynsmyndigheter

Steg 3: Åtgärdsplan med prioritering (vecka 7–8)

Prioritera enligt risk och sannolikhet för tillsynsgranskning. Vår erfarenhet är att incidenthantering och ledningsansvar bör adresseras först — det är här myndigheterna tittar vid en granskning.

Steg 4: Implementering (månad 3–9)

Rulla ut tekniska och organisatoriska åtgärder. Det inkluderar:

• Etablera eller uppgradera SIEM/SOC-kapacitet för att möta detektions- och rapporteringskraven
• Formalisera leverantörsbedömningsprocesser
• Genomföra ledningsutbildning
• Testa incidentrapporteringsflöden i skarpa övningar

Managerad SOC för NIS 2-efterlevnad

Steg 5: Kontinuerlig förbättring (löpande)

NIS 2 är inte ett engångsprojekt. Direktivet förutsätter kontinuerlig riskbedömning, regelbundna övningar och uppdaterade säkerhetsåtgärder i takt med att hotbilden förändras.

Vad Opsio ser i praktiken

Från vår 24/7-drift av SOC/NOC i Karlstad och Bangalore identifierar vi några återkommande mönster hos organisationer som förbereder sig för NIS 2:

Incidentrapportering är den svåraste nöten. Att detektera, klassificera och rapportera inom 24 timmar kräver dygnet-runt-övervakning och fördefinierade eskaleringsvägar. Organisationer utan dedikerad SOC-funktion underpresterar konsekvent här.

Molninfrastruktur glöms i riskbedömningen. Många organisationer har sofistikerade säkerhetsprocesser för on-prem-system men behandlar molnmiljöer som leverantörens problem. NIS 2 gör det tydligt att ansvaret är delat — och att det yttersta ansvaret ligger hos den organisation som använder tjänsten.

Leveranskedjekraven skapar friktion. Att ställa NIS 2-krav på befintliga leverantörer utan att ha tydliga avtal och bedömningsprocesser leder till frustration. Börja med att inventera era kritiska leverantörer och klassificera dem efter risknivå.

Cloud FinOps för kostnadseffektiv efterlevnad

Koppling till andra ramverk

NIS 2 existerar inte i ett vakuum. Här är hur det förhåller sig till de ramverk svenska organisationer vanligen arbetar med:

Vanliga frågor

Vilka svenska organisationer omfattas av NIS 2?

Organisationer inom 18 sektorer som uppfyller storleks- och omsättningströsklarna klassas som väsentliga eller viktiga entiteter. Även mindre företag kan omfattas om de är leverantörer till dessa entiteter eller verkar inom digital infrastruktur, DNS-tjänster eller kvalificerade betrodda tjänster. Den svenska cybersäkerhetslagen preciserar tillämpningen nationellt.

Vad händer om mitt företag inte uppfyller NIS 2-kraven?

Sanktionerna är kännbara: upp till 10 miljoner euro eller 2 procent av global årsomsättning för väsentliga entiteter. Viktiga entiteter riskerar upp till 7 miljoner euro eller 1,4 procent. Utöver böter kan tillsynsmyndigheter utfärda förelägganden och, i allvarliga fall, tillfälligt förbjuda ledningspersoner från att utöva sina roller.

Hur skiljer sig NIS 2 från det ursprungliga NIS-direktivet?

NIS 2 breddar tillämpningsområdet drastiskt, inför harmoniserade sanktioner, kräver ledningsansvar, ställer strängare krav på incidentrapportering (24/72 timmar) och adresserar leveranskedjesäkerhet explicit. Det eliminerar också den tidigare uppdelningen mellan operatörer av samhällsviktiga tjänster och digitala tjänsteleverantörer.

Hur påverkar NIS 2 leverantörer av molntjänster?

Leverantörer av molntjänster klassas som väsentliga entiteter under NIS 2. Det innebär de strängaste kraven: robusta säkerhetsåtgärder, incidentrapportering, regelbundna revisioner och aktivt samarbete med tillsynsmyndigheter. Organisationer som köper molntjänster måste i sin tur bedöma leverantörens NIS 2-mognad som del av sin egen riskhantering.

Vad bör vi börja med för att förbereda oss?

Starta med en gap-analys: kartlägg vilka av NIS 2:s krav ni redan uppfyller genom befintliga ramverk som ISO 27001 eller SOC 2, identifiera luckor och prioritera åtgärder. Säkerställ att ledningen förstår sitt personliga ansvar och att incidentrapporteringsprocesser finns på plats. Leveranskedjan bör inventeras tidigt.

For hands-on delivery in India, see how Opsio delivers drift.