Varför behöver ni en NIS2-konsult?

Det finns en frestande tanke: "Vi har en IT-avdelning, vi fixar det här själva." I vissa fall stämmer det. Stora organisationer med dedikerade CISO-funktioner, juridisk kompetens inom EU-regelverk och beprövade incidentprocesser kan driva arbetet internt.

Men för de flesta medelstora organisationer ser verkligheten annorlunda ut. NIS2 kräver en kombination av kompetenser som sällan finns samlad under samma tak:

• Teknisk cybersäkerhet — penetrationstestning, sårbarhetshantering, nätverkssegmentering
• Regulatorisk expertis — tolkning av direktivtexten och den svenska implementeringslagstiftningen
• Riskhantering — affärsdrivna riskanalyser, inte bara tekniska skanningar
• Organisationsutveckling — förankring i styrelse och ledningsgrupp, utbildningsprogram

En extern NIS2-konsult tillför det oberoende perspektiv som krävs för att identifiera de blinda fläckar som uppstår i varje organisation. Det är svårt att granska sig själv — och det är exakt det NIS2 i praktiken kräver.

Ledningsansvar gör detta till en styrelsefråga

Den kanske mest underskattade förändringen i NIS2 är det personliga ansvaret för ledning och styrelse. Det handlar inte om att VD ska kunna konfigurera en brandvägg. Det handlar om att ledningen ska kunna visa att de förstår organisationens cyberriskbild, att de fattat informerade beslut om åtgärder, och att de aktivt deltar i riskhanteringen.

Från Opsios perspektiv: de organisationer som lyckas bäst med NIS2 är de där styrelseordföranden ställer frågor om cybersäkerhet med samma naturlighet som om EBITDA-marginal. En bra konsult hjälper er att bygga den bryggan mellan teknik och affärsledning.

Så väljer ni rätt NIS2-konsult: konkreta kriterier

Marknaden för NIS2-rådgivning har exploderat. Det innebär att kvaliteten varierar enormt. Här är de kriterier vi rekommenderar att ni utvärderar:

1. Teknisk djupkompetens — inte bara regelverkskunskap

En konsult som bara kan citera direktivtext utan att förstå hur en SIEM fungerar, hur ni bygger nätverkssegmentering eller vad en zero-day-exploit innebär i praktiken — den konsulten kommer att leverera dokument som ser fina ut men inte skyddar er verksamhet.

Fråga efter:

• Erfarenhet av incidenthantering i skarpt läge
• Tekniska certifieringar: CISSP, CISM, OSCP eller motsvarande
• Konkreta exempel på implementerade säkerhetsarkitekturer

2. Branschspecifik erfarenhet

NIS2-kraven ser olika ut beroende på sektor. En konsult som arbetat med energisektorn förstår OT-säkerhet och SCADA-system. En som arbetat med hälso- och sjukvård förstår patientdataflöden och de särskilda krav som IVO ställer. Generalistkompetens räcker sällan.

3. Referensprojekt och verifierbara resultat

Be om:

• Minst tre referenskunder i er sektor eller storlek
• Konkreta resultat — inte bara "vi hjälpte dem med NIS2" utan vad som faktiskt förändrades
• Tidsramar och budgetprecision i tidigare uppdrag

4. Förmåga att stödja operativ drift — inte bara projekt

NIS2-efterlevnad är inte ett projekt med start- och slutdatum. Det är ett löpande tillstånd. Den konsult ni väljer bör kunna stödja er även efter den initiala implementeringen — genom kontinuerlig riskuppföljning, incidentstöd och uppdatering av processer.

Här är skillnaden mellan en konsultfirma och en managerad tjänsteleverantör viktig att förstå. En ren konsultfirma levererar råd och dokument. En partner som Managerade molntjänster kombinerar rådgivning med operativ drift kan hjälpa er att faktiskt upprätthålla efterlevnad dygnet runt.

5. Oberoende — inga dolda intressekonflikter

Var skeptiska mot konsulter som också säljer specifika säkerhetsprodukter. Risken är att rekommendationerna styrs av provisioner snarare än er faktiska riskbild. En oberoende konsult rekommenderar den lösning som passar er — oavsett leverantör.

Vanliga fallgropar vid val av NIS2-konsult

Kostnader och investeringsperspektiv

Att prata om kostnader för NIS2-rådgivning utan att nämna kostnaden för att inte följa direktivet är som att diskutera priset på brandförsäkring utan att nämna att huset kan brinna ner.

Typiska kostnadsspann

• Gap-analys och mognadsbedömning: 150 000–500 000 SEK beroende på organisationsstorlek
• Fullständig implementering (policyer, processer, tekniska åtgärder): 500 000–2 000 000 SEK för medelstora organisationer
• Löpande stöd (incidentberedskap, revision, uppdateringar): 30 000–150 000 SEK/månad

Jämför detta med sanktionsramen: upp till 10 miljoner EUR eller 2 % av global omsättning — det belopp som är högst. För de flesta svenska medelstora företag innebär det miljonbelopp i kronor. Dessutom tillkommer reputationsskadan och den operativa störningen vid en incident som hanterats bristfälligt.

Så optimerar ni investeringen

Börja med en gap-analys. Det ger er en tydlig bild av vad ni redan har på plats och var de största bristerna finns. Prioritera sedan åtgärder baserat på risk — inte baserat på vad som är enklast att bocka av. En bra konsult hjälper er att lägga pengarna där de gör störst nytta.

Organisationer som redan har Molnsäkerhet med 24/7-övervakning och etablerade incidentprocesser har ett försprång. Mycket av det NIS2 kräver operativt — kontinuerlig monitorering, logghantering, eskaleringsrutiner — är saker som en mogen molnsäkerhetspraxis redan levererar.

Opsios perspektiv: vad vi ser i praktiken

Från vårt SOC i Karlstad och NOC i Bangalore hanterar vi dagligen säkerhetsincidenter åt organisationer i EU. Det ger oss ett operativt perspektiv som rena rådgivningsfirmor saknar. Tre observationer:

Incidentrapportering är den svåraste delen. Att skriva policyer är jämförelsevis enkelt. Att faktiskt detektera en incident, bedöma dess allvarlighetsgrad och rapportera till rätt myndighet inom 24 timmar — det kräver processer, verktyg och människor som är tränade på att agera under press. Managerad DevOps med integrerad säkerhetsmonitorering ger en operativ grund som många organisationer saknar.

Leveranskedjekravet underskattas. NIS2 kräver att ni granskar era leverantörers säkerhet. Det betyder att ert val av molnleverantör, er MSP och era SaaS-tjänster alla måste uppfylla en viss säkerhetsnivå. Organisationer som arbetar med en Molnmigrering bör säkerställa att den nya miljön byggs med NIS2-krav i arkitekturen från start — inte som en efterhandskonstruktion.

FinOps och NIS2 hänger ihop. Säkerhetsinvesteringar som inte följs upp blir svåra att försvara i styrelserummet. Cloud FinOps ger er transparens i vad säkerhetsåtgärderna faktiskt kostar och vilket värde de levererar — något som NIS2:s ledningsansvarskrav i praktiken förutsätter.

Steg-för-steg: ert NIS2-projekt

1. Nulägesanalys (vecka 1–4): Gap-analys mot NIS2-kraven. Kartlägg befintliga säkerhetsåtgärder, processer och styrning.

2. Riskbedömning (vecka 4–8): Affärsdriven riskanalys. Identifiera de scenarier som kan ha störst påverkan på verksamheten och samhället.

3. Åtgärdsplan (vecka 8–12): Prioriterad handlingsplan med budget, ansvariga och tidsramar.

4. Implementering (månad 3–12): Tekniska åtgärder, processförändringar, utbildning av ledning och personal.

5. Test och validering (månad 10–14): Incidentövningar, penetrationstester, internrevision.

6. Löpande förvaltning (fortlöpande): Kontinuerlig övervakning, regelbundna revisioner, uppdatering av riskbild.

Vanliga frågor

Vilka organisationer omfattas av NIS2 i Sverige?

NIS2 gäller väsentliga och viktiga entiteter inom 18 sektorer — bland annat energi, transport, hälso- och sjukvård, digital infrastruktur, offentlig förvaltning och tillverkningsindustri. Medelstora och stora företag (50+ anställda eller omsättning över 10 miljoner EUR) träffas som regel. Även mindre företag kan omfattas om de levererar kritiska tjänster.

Vad kostar en NIS2-konsult?

Kostnaden varierar kraftigt beroende på organisationens storlek, mognad och sektor. En initial gap-analys kan ligga på 150 000–500 000 SEK. Fullständigt implementeringsstöd för en medelstor organisation hamnar ofta på 500 000–2 000 000 SEK. Det som verkligen kostar är att inte göra någonting — sanktionerna är mångfalt högre.

Hur lång tid tar NIS2-implementering?

Räkna med 6–18 månader beroende på nuläget. Organisationer som redan arbetar strukturerat med ISO 27001 eller liknande ramverk kan korta tidslinjen. De som startar från noll behöver längre, särskilt för att bygga incidenthanteringsförmåga och förankra ansvar i ledningen.

Kan vi klara NIS2 utan extern konsult?

Teoretiskt ja, om ni har intern kompetens inom både cybersäkerhet och EU-regelverk. I praktiken ser vi att de flesta medelstora organisationer saknar den kombinationen. En extern konsult ger dessutom ett oberoende perspektiv på era blinda fläckar — något som är svårt att åstadkomma internt.

Hur hänger NIS2 ihop med ISO 27001 och GDPR?

NIS2 överlappar delvis med ISO 27001 vad gäller riskhantering och säkerhetsåtgärder, men ställer hårdare krav på incidentrapportering och ledningsansvar. GDPR skyddar personuppgifter; NIS2 skyddar samhällskritiska tjänster. En organisation behöver uppfylla båda — de kompletterar varandra men ersätter inte varandra.