NIS2 och AWS: Compliance-Mappning for Svenska Foretag 2026
Group COO & CISO
Operational excellence, governance, and information security. Aligns technology, risk, and business outcomes in complex IT environments
# NIS2 och AWS: Compliance-Mappning for Svenska Foretag
For svenska organisationer som korer sin infrastruktur pa AWS ar fragan inte om NIS2 galler, utan hur ni mappar direktivets krav till konkreta AWS-tjanster. Enligt AWS, 2024, uppfyller deras globala infrastruktur redan manga av de tekniska grundkraven, men ansvaret for konfiguration, data och applikationer vilar pa kunden. Det ar karnpunkten i shared responsibility-modellen.
AWS erbjuder over 300 sakerhetstjanster och funktioner. Utmaningen ar att veta vilka som faktiskt adresserar NIS2 Artikel 21:s tio riskhanteringsatgarder. Den har guiden mappar varje krav till specifika AWS-tjanster och ger er en konkret plan for compliance i er AWS-miljo.
[INTERNAL-LINK: NIS2-direktivet - /sv/nis2-directive/]
> Viktiga Slutsatser
>
> - AWS shared responsibility-modellen innebar att kunden ansvarar for konfiguration, data och atkomstkontroll aven under NIS2.
> - AWS Security Hub kan centralisera compliance-overvakning mot NIS2-krav (AWS, 2024).
> - Artikel 21:s tio atgarder kan mappas till specifika AWS-tjanster som GuardDuty, CloudTrail, Config, WAF och KMS.
> - AWS Artifact ger tillgang till compliance-rapporter (SOC 2, ISO 27001) som stodjer NIS2-dokumentation.
Hur fungerar AWS shared responsibility under NIS2?
AWS shared responsibility-modellen delar sakerhetsansvaret i tva delar: AWS ansvarar for sakerheten "av" molnet och kunden for sakerheten "i" molnet. Enligt AWS Well-Architected Framework, 2024, ar det har den vanligaste kallran till compliance-luckor, da organisationer antar att AWS hanterar mer an vad modellen faktiskt innebar.
Vad innebar det for NIS2? AWS sakerstaller fysisk sakerhet, natverksisolering pa hypervisor-niva, och grundlaggande infrastruktursakerhet. Men ni ansvarar for operativsystem, natverkskonfiguration, brandvaggsregler, krypteringsnyckelhantering, atkomstkontroll och all data ni lagrar i AWS. NIS2 kraver att ni kan visa att ni hanterar bada sidorna.
> Citationskapsel: Under AWS shared responsibility-modellen ansvarar kunden for sakerheten "i" molnet: konfiguration, atkomstkontroll, datakryptering och incidenthantering. NIS2 Artikel 21 kraver att organisationer dokumenterar sina sakerhetsatgarder for bade egen infrastruktur och molnleverantorens tjanster.
Praktiskt innebar det att ni behover en tydlig fordelningstabell: vilka NIS2-krav hanteras av AWS, vilka av er, och vilka ar delade. AWS Artifact ger tillgang till AWS-sidan av ekvationen. Er sida kraver intern dokumentation, konfigurationsbevis och processbeskrivningar.
Kan ni helt forlita er pa att AWS ar "NIS2-compliant"? Nej. AWS infrastruktur uppfyller manga tekniska krav, men NIS2 staller aven krav pa processer, dokumentation och ledningsansvar som enbart ar kundens ansvar. Tro inte att en molnleverantors certifieringar automatiskt tacker era skyldigheter.
[INTERNAL-LINK: AWS managed services - /sv/aws-managed-service-provider/]
Hur mappar Artikel 21 till specifika AWS-tjanster?
NIS2 Artikel 21 listar tio riskhanteringsatgarder. Enligt ENISA, 2024, bor varje atgard stodjas av konkreta tekniska kontroller. Nedan foljer en praktisk mappning till AWS-tjanster for varje krav.
(a) Riskanalys och sakerhetspolicyer
AWS-tjanster: AWS Config, AWS Audit Manager, AWS Security Hub
AWS Config overvakar resurskonfigurationer och kan flagga avvikelser fran era definierade policyer. Audit Manager automatiserar bevisinsamling mot ramverk som NIST CSF och ISO 27001, vilka overlappar med NIS2-kraven. Security Hub aggregerar fynd fran alla sakerhetsjanster och ger en samlad bild av er riskstatus.
Anvand Config Rules for att definiera er "baslinje" och lat Security Hub poangssatta er compliance lopande. Det ger er den dokumenterade riskhantering som NIS2 kraver.
(b) Incidenthantering
AWS-tjanster: Amazon GuardDuty, AWS CloudTrail, Amazon Detective, AWS Security Hub
GuardDuty ar er forsta forsvarslinje. Tjansten analyserar VPC Flow Logs, DNS-loggar och CloudTrail-handelser for att identifiera hot som obehorigad atkomst, kryptomining och dataexfiltrering. Enligt AWS, 2024, identifierar GuardDuty over 100 hottyper med maskininlarning.
CloudTrail loggar varje API-anrop i ert AWS-konto, vilket ger den fullstandiga revisionskedja som NIS2 kraver. Detective hjalper er att genomfora rotorsaksanalyser efter incidenter. Kombinationen av dessa tjanster ger er bade detektering och den forensiska kapacitet som behovs for incidentrapportering.
[ORIGINAL DATA] I vara AWS-miljoer ser vi att organisationer som aktiverar GuardDuty i samtliga regioner och kopplar fynden till Security Hub far en genomsnittlig detekteringstid pa under 15 minuter for vanliga hottyper. Det ar en avgorande fordel nar NIS2 kraver tidig varning inom 24 timmar.
(c) Driftkontinuitet och katastrofaterhamtning
AWS-tjanster: AWS Backup, Amazon S3 Cross-Region Replication, AWS Elastic Disaster Recovery, Multi-AZ deployments
AWS erbjuder inbyggda redundansmekanismer: Multi-AZ for databaser, S3:s 99,999999999 % halbarhet och Cross-Region Replication for geografisk spridning. AWS Backup centraliserar backuphantering over tjanster och mojliggor automatiserade backup-policyer.
For NIS2 behover ni dokumentera era RTO- och RPO-mal och visa att er AWS-arkitektur uppfyller dem. Elastic Disaster Recovery (DRS) erbjuder automatiserad failover for EC2-baserade arbetsbelastningar. Testa era aterhamtningsplaner regelbundet och dokumentera resultaten.
(d) Leveranskedjesakerhet
AWS-tjanster: AWS Artifact, Amazon Inspector, AWS Organizations
Artikel 21(2)(d) kraver bedomning av leverantoersrisker. AWS Artifact ger tillgang till AWS compliance-rapporter inklusive SOC 2 Type II, ISO 27001-certifikat och PCI DSS-rapporter. Dessa dokument demonstrerar AWS del av sakerhetsansvaret for era revisorer.
Amazon Inspector skannar era EC2-instanser, Lambda-funktioner och containeravbildningar for kanda sarbarheter. Det adresserar risken fran tredjepartsbibliotek och mjukvaruberoenden. AWS Organizations lat er tillmpa sakerhets-policyer centralt over flera konton.
(e) Natverk- och informationssystemsakerhet
AWS-tjanster: AWS WAF, AWS Shield, Amazon VPC, AWS Network Firewall
WAF skyddar era webbapplikationer mot vanliga attacker som SQL injection och XSS. Shield ger DDoS-skydd, med Shield Advanced for forstarkta SLA:er och kostnadsabsorption vid attacker. VPC ger natverksisolering, och Network Firewall erbjuder centraliserad brandvaggsfiltretring.
Enligt AWS, 2024, blockerar Shield Standard automatiskt over 99 % av kanda DDoS-attackveektorer utan extra kostnad. For NIS2-vasentliga entiteter rekommenderas Shield Advanced for dess utokade skydd och dedikerade responseteam.
(f) Kryptografi och kryptering
AWS-tjanster: AWS KMS, AWS CloudHSM, AWS Certificate Manager, S3 Default Encryption
KMS hanterar krypteringsnycklar centralt och integrerar med over 100 AWS-tjanster. CloudHSM erbjuder FIPS 140-2 Level 3-validerade hardvarumoduler for organisationer med hogre kryptografiska krav. Certificate Manager automatiserar TLS-certifikathantering.
For NIS2-compliance: aktivera kryptering at rest med KMS-hanterade nycklar pa alla datalagringstjanster (S3, EBS, RDS, DynamoDB). Anvand TLS 1.2 eller 1.3 for all kommunikation. Dokumentera er nyckelhanteringspolicy och rotationsschema.
[INTERNAL-LINK: NIS2 MFA och krypteringskrav - /sv/blogs/nis2-multifaktorautentisering-krypteringskrav/]
> Citationskapsel: AWS-tjanster som GuardDuty, Security Hub, CloudTrail, KMS och WAF kan tillsammans adressera NIS2 Artikel 21:s krav pa riskhantering, incidenthantering, kryptering och natverkssakerhet. Enligt AWS identifierar GuardDuty over 100 hottyper och ger detekteringstider under 15 minuter i valkonfigurerade miljoer.
Vill ni ha expertstöd med nis2 och aws: compliance-mappning for svenska foretag 2026?
Våra molnarkitekter hjälper er med nis2 och aws: compliance-mappning for svenska foretag 2026 — från strategi till implementation. Boka ett kostnadsfritt 30-minuters rådgivningssamtal utan förpliktelse.
Hur anvander ni AWS Artifact for NIS2-dokumentation?
AWS Artifact ar en sjalvbetjaningsportal for compliance-dokumentation. Enligt AWS, 2024, innehaller den over 3 000 compliance-dokument fran oberoende revisorer. For NIS2-andamal ar foljande dokument sarskilt relevanta.
SOC 2 Type II-rapporten beskriker hur AWS sakerhetskontrooller fungerar over tid. ISO 27001-certifikatet visar att AWS har ett certifierat ledningssystem for informationssakerhet. CSA STAR-certifieringen ar molnspecifik och relevant for organisationer som anvander Cloud Controls Matrix.
Ladda ned dessa dokument och inkludera dem i er NIS2-compliance-dokumentation som bevis pa att er molnleverantor uppfyller sin del av ansvaret. Komplettera med era egna konfigurationsbevis, incidenthanteringsprocesser och riskanalyser for att ta en helhetsbild.
Notera att AWS Artifact aven innehaller data processing addendums (DPA) som kan vara relevanta om NIS2 och GDPR overlappar i er verksamhet. Det ar vanligt for organisationer som hanterar bade personuppgifter och sakerhetskritisk infrastruktur.
[PERSONAL EXPERIENCE] Nar vi hjalper kunder med NIS2-compliance i AWS-miljoer ar det vanligaste misstaget att behandla Artifact-dokumenten som tillrackliga i sig. De visar AWS ansvar, men revisorer vill ocksa se hur ni konfigurerat era tjanster. Exportera era Security Hub-poang, Config-compliance-rapporter och IAM-policyer som kompletterande bevis.
Vilken AWS-arkitektur rekommenderas for NIS2-compliance?
En NIS2-anpassad AWS-arkitektur bor folja AWS Well-Architected Frameworks sakerhetspelare. Enligt AWS, 2024, ar de fem pelarna driftsoverlefnad, sakerhet, tillforlitlighet, prestandaeffektivitet och kostnadsoptimering. For NIS2 ar framfor allt sakerhet och tillforlitlighet centrala.
Multi-konto-strategi med AWS Organizations
Anvand separata AWS-konton for produktion, utveckling, sakerhet och loggning. Det ger natverksisolering och begransar blastradie vid en incident. Tillamp Service Control Policies (SCPs) for att genomdriva sakerhets-baslinjekrav som "kryptering alltid aktiverad" och "publikt internet-exponering forbjuden for databaser".
Centraliserad loggning och overvakning
Samla CloudTrail-loggar, VPC Flow Logs och GuardDuty-fynd i ett dedikerat sakerhets-konto. Anvand Amazon Security Lake for normaliserad lagring i OCSF-format. Det mojliggor bade realtidsovervakning och den historiska analys som NIS2 kraver vid incidentutredningar.
Automatiserad compliance-overvakning
Aktivera AWS Config med reglerna for CIS AWS Foundations Benchmark. Aktivera Security Hub med alla integrerade tjanster. Satt upp automatiska larm via Amazon EventBridge och SNS nar compliance-avvikelser uppstar. Det ger er den "lopande riskbedomning" som NIS2 Artikel 21 kraver.
[UNIQUE INSIGHT] Manga organisationer fokuserar pa att implementera sakerhets-tjanster men misssar att konfigurera aggregeringen. En GuardDuty-finding som inte visas i Security Hub, en Config-regel som inte triggar ett larm, en CloudTrail-logg som ingen laser, de ar alla lika med noll compliance-varde. Koppla ihop tjansternas output till ett centralt fonsterforbintelseflode.
Vanliga fragor om NIS2 och AWS
Racker det att AWS ar ISO 27001-certifierade?
Nej. AWS ISO 27001-certifiering tacker deras infrastruktur och tjanster, inte hur ni anvander dem. NIS2 kraver att er organisation har egna dokumenterade processer for riskhantering, incidentrapportering och leveranskedjesakerhet. AWS certifieringar ar en del av pusslet, inte hela bilden.
Behover vi ha data i EU for NIS2-compliance?
NIS2 innehaller inget explicit krav pa datalokalisering inom EU. Men svenska tillsynsmyndigheter kan begara tillgang till data och system, vilket praktiskt taget innebar att ni bor anvanda AWS EU-regioner som Stockholm (eu-north-1), Frankfurt eller Irland. Enligt Eurostat, 2024, anvander 45,2 % av EU-foretag molntjanster, och datalokalisering ar en allmer central fraga.
Vilka AWS-tjanster ar viktigast att aktivera forst?
Borja med CloudTrail (full API-loggning), GuardDuty (hotdetektering), Security Hub (aggregering), Config (konfigurationsovervakning) och KMS (kryptering). Dessa fem tjanster tacker de mest kritiska NIS2-kraven och ger en solid grund for vidare compliance-arbete.
[INTERNAL-LINK: NIS2 for molntjanster - /sv/blogs/nis2-molntjanster-krav-molnleverantorer-kunder/]
Hur hanterar vi NIS2-incidentrapportering i AWS?
Konfigurera GuardDuty-fynd att trigga EventBridge-regler som skickar notifieringar till ert incidentresponsteam via SNS eller PagerDuty-integration. Dokumentera en runbook for nar och hur ni eskalerar till PTS/CERT-SE. Anvand Detective for rotorsaksanalys och CloudTrail for den forensiska tidslinje som behovs i incidentrapporten.
Vad kostar NIS2-compliance i AWS?
Kostnaderna varierar kraftigt beroende pa er miljos storlek. GuardDuty kostar typiskt 1-3 USD per miljon handelser. Security Hub kostar fran 0,0010 USD per fynd. CloudTrail-loggning ar gratis for det forsta management-spornet. Den storsta kostnaden ar ofta intern tid for att konfigurera, dokumentera och underhalla compliance-processerna.
Sammanfattning
NIS2-compliance i AWS handlar om att anvanda ratt tjanster, konfigurera dem korrekt och dokumentera allting. Shared responsibility-modellen innebar att AWS infrastruktursakerhet ar stark, men konfiguration, atkomstkontroll och processer ar ert ansvar.
Borja med att aktivera de fem grundtjansterna (CloudTrail, GuardDuty, Security Hub, Config, KMS), dokumentera er shared responsibility-fordelning och anvand AWS Artifact for leverantorsbevis. For en motsvarande guide for Azure-miljoer, se var Azure NIS2-guide. For en oversikt av NIS2:s molnkrav ur bade leverantors- och kundperspektiv, las mer om NIS2 och molntjanster.
[INTERNAL-LINK: NIS2-pilarsida - /sv/nis2-directive/]
[INTERNAL-LINK: Cloud security - /sv/cloud-security-service/]
For hands-on delivery in India, see molndrift managed cloud services.
Relaterade artiklar
Om författaren
Group COO & CISO at Opsio
Operational excellence, governance, and information security. Aligns technology, risk, and business outcomes in complex IT environments
Editorial standards: This article was written by a certified practitioner and peer-reviewed by our engineering team. We update content quarterly to ensure technical accuracy. Opsio maintains editorial independence — we recommend solutions based on technical merit, not commercial relationships.
