Steg 1: Omfattas er organisation?

Innan ni lägger budget på efterlevnad, fastställ om ni faktiskt berörs. Det låter självklart, men vi ser regelbundet organisationer som antingen underskattar eller överskattar sin exponering.

Högkritiska sektorer (väsentliga entiteter)

• Energi (el, fjärrvärme, olja, gas, vätgas)
• Transport (flyg, järnväg, väg, sjöfart)
• Bank och finansmarknadsinfrastruktur
• Hälso- och sjukvård
• Dricksvatten och avloppsvatten
• Digital infrastruktur (DNS, TLD, datacenter, molntjänster, CDN)
• Offentlig förvaltning (central nivå)
• Rymdsektorn

Andra kritiska sektorer (viktiga entiteter)

• Post och budtjänster
• Avfallshantering
• Kemikalier (tillverkning och distribution)
• Livsmedel (produktion, bearbetning, distribution)
• Tillverkningsindustri (medicintekniska produkter, datorer, elektronik, fordon)
• Digitala leverantörer (marknadsplatser, sökmotorer, sociala nätverk)
• Forskning

Tröskelvärdena i praktiken

Huvudregeln är enkel: minst 50 anställda eller över 10 MEUR i årsomsättning. Men det finns viktiga undantag:

• Leverantörer av DNS-tjänster, TLD-register och digitala identitetstjänster omfattas oavsett storlek
• Organisationer med potentiell påverkan på allmän säkerhet kan inkluderas även under tröskelvärdena
• Koncerner behöver bedöma dotterbolag individuellt — ett dotterbolag under tröskelvärdet kan ändå omfattas via koncernens samlade verksamhet

Praktiskt steg: Kartlägg er sektorstillhörighet, kontrollera nyckeltal (anställda, omsättning) och dokumentera slutsatsen. Denna bedömning behöver vara spårbar om tillsynsmyndigheten frågar.

Steg 2: Gap-analys mot NIS2:s tio åtgärdsområden

NIS2 specificerar tio kategorier av säkerhetsåtgärder i artikel 21. Varje organisation behöver en strukturerad gap-analys mot dessa. Har ni redan ett ledningssystem enligt ISO/IEC 27001 har ni ett försprång — men NIS2 har krav som går utöver 27001 på flera punkter.

De tio åtgärdsområdena

1. Riskanalys och informationssäkerhetspolicy — grundläggande riskhanteringsprocess

2. Incidenthantering — detektering, respons, rapportering

3. Driftskontinuitet och krishantering — backuphantering, katastrofåterställning

4. Supply chain-säkerhet — leverantörsstyrning inklusive underleverantörer

5. Säkerhet i nätverks- och informationssystem — anskaffning, utveckling, underhåll

6. Åtgärder för att bedöma effektiviteten — testning, revision, mätning

7. Cyberhygien och utbildning — medarbetarnas grundläggande säkerhetsbeteende

8. Kryptografi — policyer och rutiner för kryptering

9. Personalsäkerhet och åtkomstkontroll — behörighetshantering, identitetsverifiering

10. Multifaktorautentisering och säkra kommunikationskanaler — MFA, krypterad kommunikation

Så genomför ni gap-analysen

Vi rekommenderar en strukturerad ansats med tre mognadsgrader per område:

Prioritera de områden där gapet är störst och risken högst. I praktiken ser vi att incidenthantering och supply chain-säkerhet är de vanligaste svaga punkterna bland svenska organisationer.

Molnsäkerhet för svenska organisationer

Steg 3: Incidentrapportering — de tre tidsfrister ni måste klara

Incidentrapporteringsprocessen är det område där NIS2 är mest konkret och kompromisslöst. Tre tidsfrister gäller för varje "betydande incident":

Tidslinje för rapportering

Inom 24 timmar — tidig varning

Så snart ni blir medvetna om en potentiellt betydande incident ska en varning skickas till behörig CSIRT (i Sverige: CERT-SE vid MSB). Varningen behöver inte vara detaljerad — den ska bekräfta att en incident pågår och ge en första bedömning av om den kan ha gränsöverskridande påverkan.

Inom 72 timmar — formell incidentanmälan

En mer detaljerad anmälan med uppdaterad allvarlighetsgrad, påverkansanalys och inledande indikatorer. Här krävs att ni har en fungerande process för att snabbt samla teknisk information.

Inom en månad — slutrapport

Fullständig rotorsaksanalys, beskrivning av vidtagna åtgärder och identifierade förbättringsområden. Det här är den rapport som tillsynsmyndigheten använder för att bedöma er hanteringsförmåga.

Vad räknas som "betydande incident"?

En incident är betydande om den:

• Har orsakat eller kan orsaka allvarlig driftsstörning eller ekonomisk förlust
• Har påverkat eller kan påverka andra fysiska eller juridiska personer genom betydande skada

Opsio-perspektiv: Från vår SOC i Karlstad ser vi att den största utmaningen inte är de 24 timmarna i sig — det är att organisationer inte har definierat vem som fattar beslut om rapportering en fredagskväll. Roller, eskaleringsvägar och kontaktuppgifter till CERT-SE måste vara dokumenterade och testade innan incidenten inträffar.

Managerade SOC-tjänster

Steg 4: Styrelsens och ledningens ansvar

NIS2 inför något som saknade tydlighet i det ursprungliga direktivet: personligt ansvar för styrelseledamöter och verkställande ledning. Det innebär i praktiken:

• Ledningen ska godkänna cybersäkerhetsåtgärderna (inte bara delegera till IT-avdelningen)
• Ledningen ska genomgå utbildning i cybersäkerhet
• Ledningen kan hållas personligt ansvarig vid brister

Det här förändrar dynamiken i många organisationer. Cybersäkerhet kan inte längre vara enbart CISO:ns problem — det är en styrelsefraga med personliga konsekvenser.

Praktiska åtgärder för ledningen

1. Schemalägg regelbundna cybersäkerhetsbriefingar i styrelsens agenda (kvartalsvis minimum)

2. Dokumentera styrelsebeslut om säkerhetsåtgärder och riskacceptans

3. Genomför utbildning — inte en PowerPoint-presentation, utan substantiell förståelse för organisationens riskprofil

4. Säkerställ budget — direktivet kräver "proportionerliga" åtgärder, men proportionalitet förutsätter att resurser faktiskt allokeras

Steg 5: Leverantörsstyrning och supply chain-säkerhet

Supply chain-säkerhet är ett av NIS2:s mest krävande områden i praktiken. Direktivet kräver att organisationer bedömer och hanterar risker inte bara hos direkta leverantörer utan i hela leveranskedjan.

Vad det innebär konkret

• Riskbedömning av kritiska leverantörer — vilka leverantörer har tillgång till era system eller data?
• Säkerhetskrav i avtal — inte bara en klausul om "adekvat säkerhet" utan specifika tekniska och organisatoriska krav
• Incidentrapporteringsklausuler — leverantören måste rapportera incidenter till er inom definierade tidsramar
• Revisionsrätt — möjlighet att verifiera leverantörens säkerhetsåtgärder
• Underleverantörskontroll — krav på insyn i och godkännande av underleverantörer

Opsio-perspektiv: Som managerad tjänsteleverantör hamnar vi själva under denna granskning hos våra kunder. Det vi ser är att organisationer som använder en molnbaserad infrastruktur behöver förstå shared responsibility-modellen i detalj. Er molnleverantör ansvarar för säkerhet av molnet, men ni ansvarar för säkerhet i molnet. NIS2 ändrar inte den uppdelningen — men det gör bristande förståelse till en lagöverträdelse.

Cloud FinOps och styrning

Steg 6: Beviskrav — vad ni behöver kunna visa upp

Tillsynsmyndigheter kommer att begära bevis, inte bara beskrivningar. Här är de dokumentkategorier ni behöver ha redo:

Steg 7: Löpande efterlevnad — inte en engångsövning

NIS2-efterlevnad är en kontinuerlig process. De organisationer som behandlar det som ett projekt med slutdatum kommer att hamna i svårigheter vid nästa tillsynsbesök. Här är vad löpande styrning innebär:

• Kvartalsvis riskgenomgång — omvärlden förändras, och er riskbild med den
• Årlig revision av samtliga tio åtgärdsområden
• Löpande utbildning — nya medarbetare, nya hot, nya teknologier
• Incidentövningar — tabletop-övningar minst halvårsvis, fullskalig övning årligen
• Leverantörsöversyn — årlig omprövning av kritiska leverantörer
• Budgetplanering — cybersäkerhet behöver en dedikerad budgetpost, inte ad hoc-tilldelning

Managerad DevOps och drift

Tidslinje: Var bör ni vara nu?

Svensk NIS2-lagstiftning gäller redan. Om ni inte har påbörjat ert efterlevnadsarbete är ni sena — men inte för sena. Prioritera i denna ordning:

1. Vecka 1–2: Fastställ om ni omfattas. Dokumentera bedömningen.

2. Vecka 3–6: Genomför gap-analys mot de tio åtgärdsområdena.

3. Månad 2–3: Etablera incidentrapporteringsprocess och testa den.

4. Månad 3–4: Uppdatera leverantörsavtal med NIS2-krav.

5. Månad 4–6: Implementera de åtgärder som gap-analysen identifierade.

6. Löpande: Mät, testa, förbättra, rapportera till styrelsen.

Molnmigrering med säkerhetsfokus

Vanliga frågor

Vilka organisationer omfattas av NIS2 i Sverige?

Organisationer med minst 50 anställda eller över 10 MEUR i omsättning inom högkritiska sektorer (energi, transport, hälso- och sjukvård, vatten, digital infrastruktur, bank/finans, offentlig förvaltning) och andra kritiska sektorer (post, avfall, kemikalier, livsmedel, digitala leverantörer). Mindre aktörer kan omfattas om en störning bedöms påverka allmän säkerhet.

Hur snabbt måste en NIS2-incident rapporteras?

Betydande incidenter ska rapporteras i tre steg: en tidig varning inom 24 timmar, en formell incidentanmälan inom 72 timmar och en slutrapport med rotorsaksanalys inom en månad. Tidsfristen räknas från det att organisationen blir medveten om incidenten.

Vad händer om vi inte uppfyller NIS2-kraven?

Sanktionerna kan uppgå till 10 MEUR eller 2 % av global omsättning för väsentliga entiteter. Utöver böter kan tillsynsmyndigheten kräva åtgärdsplaner, utföra revisioner och i extremfall tillfälligt förbjuda ledningspersoner att utöva sina roller.

Hur skiljer sig NIS2 från det ursprungliga NIS-direktivet?

NIS2 utökar antalet sektorer avsevärt, inför striktare incidentrapporteringskrav, skärper ledningsansvaret med personligt ansvar för styrelseledamöter och harmoniserar sanktionsnivåerna inom EU. Supply chain-säkerhet och kryptografi är nu explicita krav.

Kan en managerad tjänsteleverantör hjälpa med NIS2-efterlevnad?

Ja, en MSP med SOC/NOC-kapacitet kan täcka dygnet-runt-övervakning, incidentdetektering, logghantering och rapporteringsprocesser — men det juridiska ansvaret ligger kvar hos er organisation. Ni behöver en tydlig ansvarsmatris och regelbunden revision av leverantören.