NIS2 vs. det ursprungliga NIS-direktivet

Vilka IT-leverantörer omfattas?

NIS2 använder en storlekströskel kombinerad med sektortillhörighet. Organisationer med fler än 50 anställda eller en omsättning över 10 miljoner euro inom de 18 sektorerna omfattas automatiskt. Men – och det här är avgörande – managed service providers (MSP:er) och managed security service providers (MSSP:er) är explicit inkluderade oavsett storlek i direktivets bilaga.

De 18 sektorerna

Väsentliga enheter (Annex I – högre krav):

• Energi (el, gas, olja, fjärrvärme, vätgas)
• Transport (flyg, järnväg, sjöfart, väg)
• Bankverksamhet och finansiella marknader
• Hälso- och sjukvård
• Dricksvatten och avloppsvatten
• Digital infrastruktur (DNS, IXP, molntjänster, datacenter)
• ICT-tjänstehantering (B2B) – hit räknas MSP:er
• Offentlig förvaltning
• Rymd

Viktiga enheter (Annex II – något lägre krav men fortfarande kännbara):

• Post- och budtjänster
• Avfallshantering
• Kemisk industri
• Livsmedel
• Tillverkning (medicintekniska produkter, datorer, elektronik, fordon m.m.)
• Digitala leverantörer (marknadsplatser, sökmotorer, sociala nätverk)
• Forskning

Vad det betyder i praktiken

Om du som IT-leverantör hanterar infrastruktur, drift eller säkerhet åt en kund inom exempelvis sjukvården eller energisektorn, så berörs du av NIS2 – punkt. Din kund är skyldig att kontrollera och avtala om din säkerhetsnivå. Kan du inte dokumentera och verifiera den nivån tappar du affären till en konkurrent som kan.

Managerade molntjänster

De konkreta kraven: Vad du måste ha på plats

NIS2:s artikel 21 specificerar tio områden för riskhanteringsåtgärder. Här bryter vi ner dem i vad de faktiskt kräver av en IT-leverantör.

1. Riskanalys och informationssäkerhetspolicy

Du behöver en formaliserad, levande riskanalysprocess – inte ett PDF-dokument som skrevs 2022 och aldrig uppdaterats. Riskanalysen ska vara systematisk, upprepad och kopplad till faktiska hot.

Opsio-perspektiv: I vår SOC kör vi kontinuerlig riskbedömning baserad på realtidsdata. Vi ser att organisationer som gör riskanalyser kvartalsvis istället för årligen identifierar och åtgärdar sårbarheter betydligt snabbare.

2. Incidenthantering

Här skärps kraven drastiskt. NIS2 kräver:

• Inom 24 timmar: Initial varning till behörig myndighet (CSIRT eller tillsynsmyndighet)
• Inom 72 timmar: Uppföljande rapport med bedömning av allvarlighetsgrad och konsekvenser
• Inom 1 månad: Slutrapport med grundorsaksanalys och vidtagna åtgärder

Det innebär att du som IT-leverantör måste ha dygnet-runt-kapacitet att upptäcka, klassificera och eskalera incidenter. En SOC som bara är bemannad kontorstid klarar inte 24-timmarskravet.

Molnsäkerhet

3. Affärskontinuitet och krishantering

Backup-hantering, katastrofåterställning (DR) och kontinuitetsplanering måste dokumenteras och testas regelbundet. NIS2 nöjer sig inte med att du har en DR-plan – du ska kunna visa att den fungerar.

4. Leveranskedjans säkerhet

Det här är det krav som förändrar dynamiken mellan IT-leverantörer och deras kunder mest. Du kommer att behöva:

• Dokumenterade säkerhetskrav i avtal med dina underleverantörer
• Regelbundna utvärderingar av tredjepartsleverantörer
• Transparens kring var data lagras och bearbetas
• Förmåga att visa att hela kedjan upprätthåller en adekvat säkerhetsnivå

5. Övriga krav i artikel 21

• Nätverks- och informationssystemsäkerhet (inkl. sårbarhetshantering)
• Policyer för kryptografi och kryptering
• Personalsäkerhet och åtkomstkontroll
• Multifaktorautentisering (MFA) och säkrad kommunikation
• Utbildning i cybersäkerhet på alla nivåer, inklusive ledningen

Ledningsansvaret: Från IT-fråga till styrelserumsfråga

Det som gör NIS2 unikt jämfört med de flesta cybersäkerhetsregelverk är det personliga ledningsansvaret. Artikel 20 är tydlig: den högsta ledningen (styrelse, VD) ska:

• Godkänna riskhanteringsåtgärderna
• Övervaka implementeringen
• Genomgå cybersäkerhetsutbildning och se till att anställda erbjuds samma
• Hållas ansvariga vid överträdelser

Det innebär att cybersäkerhet inte längre kan delegeras nedåt och glömmas bort. Tillsynsmyndigheten kan vid allvarliga överträdelser tillfälligt förbjuda en person att inneha ledande befattning. Det är en nyhet i EU:s cybersäkerhetslandskap och det skickar en tydlig signal.

Vad det betyder för dig som IT-leverantör: Dina kunders styrelser kommer att ställa frågor de aldrig ställt förut. Du måste kunna leverera rapporter och dokumentation som en styrelseledamot utan teknisk bakgrund kan förstå och agera på.

Praktisk implementeringsplan

Baserat på vad vi ser fungera hos Opsios kunder rekommenderar vi följande stegvisa ansats:

Steg 1: Gap-analys (vecka 1–4)

Kartlägg nuläget mot NIS2:s tio riskhanteringsområden i artikel 21. Identifiera vilka krav ni redan uppfyller (exempelvis genom befintlig ISO 27001-certifiering) och var det finns luckor.

Steg 2: Ledningsförankring (vecka 2–3)

Presentera gap-analysen för styrelse/ledning med konkret riskbedömning i kronor och ören – inte teknisk jargong. Inkludera sanktionsnivåer, affärsrisker vid bristande efterlevnad och en budgetuppskattning.

Steg 3: Åtgärdsplan och prioritering (vecka 4–8)

Prioritera åtgärderna efter risk och konsekvens:

Steg 4: Implementering och verifiering (löpande)

Bygg in kontinuerlig övervakning och mätning. NIS2 är inte en engångsinsats – det kräver levande processer som utvecklas i takt med hotlandskapet.

Managerad DevOps

NIS2 och molntjänster: Specifika överväganden

IT-leverantörer som kör arbetsbelastningar i publika moln (AWS, Azure, GCP) behöver förstå delat ansvar-modellen i ett NIS2-perspektiv.

Molnleverantören ansvarar för: säkerheten av molnet – fysisk infrastruktur, hypervisor, nätverkssegmentering.

Du ansvarar för: säkerheten i molnet – konfiguration, åtkomstkontroll, kryptering, patchning, incidenthantering.

Det innebär att en felkonfigurerad S3-bucket i eu-north-1 (Stockholm) eller en öppen nätverksgrupp i Azure Sweden Central är ditt ansvar, inte AWS:s eller Microsofts. NIS2 gör detta till en formell regulatorisk fråga, inte bara en driftfråga.

Datalagring och GDPR-koppling: NIS2 kompletterar GDPR men ersätter det inte. Om du hanterar personuppgifter för kunder inom exempelvis sjukvårdssektorn gäller båda regelverken parallellt. Integritetsskyddsmyndigheten (IMY) och sektorsmyndigheterna kommer att samordna tillsynen.

Molnmigrering

Sanktioner och tillsyn i Sverige

Tillsynsstrukturen i Sverige följer sektorsmodellen. MSB (Myndigheten för samhällsskydd och beredskap) har en övergripande samordningsroll, men den operativa tillsynen utövas av respektive sektorsmyndighet:

• Energimyndigheten – energisektorn
• Transportstyrelsen – transportsektorn
• Finansinspektionen – bank och finans
• IVO – hälso- och sjukvård
• PTS – digital infrastruktur och telekomrelaterade tjänster

Sanktionerna är utformade för att ha reell avskräckande effekt:

• Väsentliga enheter: Upp till 10 000 000 EUR eller 2 % av global årsomsättning (det högsta beloppet gäller)
• Viktiga enheter: Upp till 7 000 000 EUR eller 1,4 % av global årsomsättning

Utöver böter kan tillsynsmyndigheten utfärda förelägganden, kräva revisioner och som nämnts ovan förbjuda personer från ledande befattningar.

NIS2 som konkurrensfördel

Vi på Opsio ser NIS2-efterlevnad som något mer än ren regelefterlevnad. De IT-leverantörer som tidigt investerar i att uppfylla kraven bygger ett försprång som är svårt att hämta in.

Varför?

• Kunder inom reglerade sektorer måste välja leverantörer som kan visa NIS2-efterlevnad
• En dokumenterad säkerhetsprocess minskar faktiska incidentkostnader – inte bara regulatoriska risker
• Leverantörer med 24/7 SOC-kapacitet och etablerade incidentrapporteringsprocesser kan hantera 24-timmarskravet utan panikinsatser

Flexeras State of the Cloud har konsekvent visat att säkerhet och efterlevnad rankas bland de absolut viktigaste utmaningarna för organisationer som använder molntjänster. NIS2 förstärker den trenden ytterligare.

Cloud FinOps

Vanliga frågor

Vilka IT-leverantörer omfattas av NIS2?

Alla IT-leverantörer som levererar tjänster till organisationer inom de 18 sektorer som NIS2 omfattar kan träffas av kraven – antingen direkt som viktiga enheter eller indirekt genom leveranskedjekraven. Managed service providers (MSP:er) nämns explicit i direktivets bilaga, vilket innebär att även mindre MSP:er som hanterar infrastruktur åt exempelvis sjukvård, energi eller transport berörs.

Vad händer om vi inte uppfyller NIS2-kraven?

Sanktionerna är kännbara: upp till 10 miljoner euro eller 2 % av global årsomsättning för väsentliga enheter. Utöver böter riskerar ledningen personligt ansvar, och tillsynsmyndigheten kan i allvarliga fall förbjuda personer från att inneha ledande befattningar.

Hur skiljer sig NIS2 från det ursprungliga NIS-direktivet?

NIS2 utökar från 7 till 18 sektorer, inför personligt ledningsansvar, harmoniserar incidentrapportering till 24 timmar och höjer sanktionerna kraftigt. Direktivet differentierar också mellan väsentliga och viktiga enheter med anpassade kravnivåer. Managed service providers inkluderas explicit för första gången.

Hur påverkar NIS2 leveranskedjan?

NIS2 kräver explicit att organisationer säkerställer cybersäkerheten i hela leveranskedjan. Som IT-leverantör innebär det att dina kunder kommer att ställa krav på dig – avtalsmässigt, tekniskt och organisatoriskt. Kan du inte visa efterlevnad riskerar du att förlora affärer till konkurrenter som kan.

Vilken myndighet ansvarar för NIS2-tillsynen i Sverige?

MSB har en central samordningsroll, men tillsynsansvaret fördelas sektorsvis. Energimyndigheten, Transportstyrelsen, Finansinspektionen, IVO och PTS övervakar respektive sektor. IMY fortsätter att hantera GDPR-frågor parallellt, och de olika myndigheterna förväntas samordna sin tillsyn.