NIS2 Molntjanster: Krav pa Molnleverantorer och Kunder
Group COO & CISO
Operational excellence, governance, and information security. Aligns technology, risk, and business outcomes in complex IT environments
# NIS2 och Molntjanster: Krav pa Bade Leverantorer och Kunder
Molntjanster ar centrala i NIS2-direktivets tillampningsomrade, men ansvarsfordelningen forvirrar manga organisationer. Enligt Eurostat, 2024, anvander 45,2 % av EU:s foretag molntjanster, och andelen vaxer for varje ar. NIS2 erkanner den verkligheten genom att stalla krav pa bade molnleverantorer som vasentliga entiteter och pa deras kunder genom leveranskedjesakerhetsbestammelserna.
Det innebar ett dubbelriktat ansvar. Molnleverantoren har skyldigheter som vasentlig entitet under NIS2. Kunden, om den omfattas av NIS2, har skyldigheter att sakerstalla att molnleverantoren uppfyller lampliga sakerhetsnivaer. Den har artikeln forklarar bada perspektiven och ger konkret vagledning for avtal, kravstallning och val av molnpartner.
[INTERNAL-LINK: NIS2-direktivet - /sv/nis2-directive/]
> Viktiga Slutsatser
>
> - Molnleverantorer klassas som vasentliga entiteter under NIS2 oavsett storlek.
> - NIS2 Artikel 21(2)(d) kraver att organisationer bedomer och hanterar risker i sin leveranskedja, inklusive molntjanster.
> - Avtalsreglering av sakerhetskrav, incidentrapportering och revisionsratter ar obligatoriskt (EU 2022/2555, Artikel 21).
> - Kunder bor krava SOC 2 Type II, ISO 27001 och transparent incidenthantering fran sin molnpartner.
Varfor omfattar NIS2 bade molnleverantorer och deras kunder?
NIS2 klassificerar molntjanstleverantorer (CSP) som vasentliga entiteter i Bilaga I, sektor "Digital infrastruktur". Enligt Europeiska kommissionen, 2023, var detta ett medvetet val for att spegla den systemrisk som uppstar nar manga organisationer ar beroende av samma molnplattformar. Ett sakerhetsfel hos en stor molnleverantor kan kaskadpaverka tusentals kunder.
Samtidigt innebar NIS2 Artikel 21(2)(d) att varje organisation som sjalv omfattas av direktivet maste hantera risker i sin leveranskedja. Molntjanster ar for de flesta organisationer den mest kritiska leveranskedjekomponenten. Resultatet ar ett dubbelriktat ansvar: leverantoren maste uppfylla NIS2:s krav pa vasentliga entiteter, och kunden maste verifiera att leverantoren gor det.
Vad hander om er molnleverantor har en incident? Under NIS2 har leverantoren en egen rapporteringsskyldighet till sin tillsynsmyndighet. Men om incidenten paverkar er verksamhet har ni ocksa en rapporteringsskyldighet. Det innebar att ni behover avtalsreglerade processer for hur och nar leverantoren informerar er om incidenter.
> Citationskapsel: NIS2 skapar ett dubbelriktat ansvar for molntjanster: leverantorer klassas som vasentliga entiteter med egna compliance-skyldigheter, medan kunder som omfattas av direktivet maste bedoma och hantera risker i sin molnleveranskedja enligt Artikel 21(2)(d). Enligt Eurostat anvander 45,2 % av EU-foretag molntjanster.
[INTERNAL-LINK: Cloud security - /sv/cloud-security-service/]
Vilka krav staller NIS2 direkt pa molnleverantorer?
Molnleverantorer som vasentliga entiteter maste implementera samtliga tio riskhanteringsatgarder i Artikel 21. Enligt ENISA, 2024, ar den europeiska molnmarknaden vard over 100 miljarder euro arligen, och sakerheten i denna infrastruktur ar central for EU:s digitala resiliens.
For molnleverantorer innebar NIS2 specifikt:
Incidentrapportering. Tidig varning till CSIRT inom 24 timmar, incidentanmalan inom 72 timmar, slutrapport inom en manad. Det galler incidenter i leverantorens egen infrastruktur som kan paverka kundernas sakerhet eller tillganglighet.
Riskanalys och atgarder. Dokumenterade riskanalyser for hela tjansteplattformen, inklusive fysisk sakerhet, virtualiseringssakerhet, nyheter-natverkssakerhet och atkomstkontroll. Riskanalyserna ska vara proportionella mot tjanstens kritikalitet.
Driftkontinuitet. Geografiskt redundanta miljoer, dokumenterade RTO/RPO-mal och regelbundna failover-tester. For molnleverantorer ar detta oftast redan valmogna processer, men NIS2 kraver formell dokumentation.
Leveranskedja. Aven molnleverantorer har underleverantorer: hardvaruleverantorer, mjukvarukomponenter, tredjepartsbibliotek. NIS2 kraver att dessa risker kartlaggs och hanteras.
Ledningsansvar. VD och styrelse hos molnleverantoren maste vara informerade om och ansvariga for cybersakhetsarbetet. Det ar inte langre en IT-fraga utan en ledningsfraga.
Vill ni ha expertstöd med nis2 molntjanster: krav pa molnleverantorer och kunder?
Våra molnarkitekter hjälper er med nis2 molntjanster: krav pa molnleverantorer och kunder — från strategi till implementation. Boka ett kostnadsfritt 30-minuters rådgivningssamtal utan förpliktelse.
Vilka krav har NIS2-kunder pa sin molnleverantor?
Artikel 21(2)(d) kraver att organisationer "bedomer och vidtar lampliga atgarder" gallande sakerheten i sin leveranskedja. Enligt EY Global Cybersecurity Leadership Insights, 2024, rapporterar 62 % av foretag att tredjepartsrisker ar deras storsta cybersakerhetsorsakoro. For molntjanster innebar det fyra specifika skyldigheter.
1. Due diligence vid val av molnleverantor
Innan ni valjer eller fornyar ett molnavtal ska ni genomfora en formell sakerhetsbedomning. Granska leverantorens certifieringar (ISO 27001, SOC 2 Type II, CSA STAR). Begaran tillgang till deras senaste penetrationstestrapporter. Verifiera att de har en dokumenterad incidenthanteringsprocess.
2. Avtalsreglering av sakerhetskrav
NIS2 kraver att sakerhetsforvantiningar regleras kontraktuellt. Ert molnavtal bor innehalla:
- Definierade sakerhetsnivaer (SLA:er for tillganglighet, patchningstider, krypteringskrav)
- Incidentnotifiering: hur snabbt leverantoren informerar er om sakerhetsincidenter
- Revisionsrattigheter: ert ratt att granska eller lata granska leverantorens sakerhet
- Subprocessorer: villkor for leverantorens anvandning av underleverantorer
- Datahantering vid avtalets upphordande: hur data returneras eller raderas
3. Lopande overvakning
Due diligence ar inte en engangsakttivitet. NIS2 kraver lopande riskhantering, vilket innebar att ni regelbundet ska granska leverantorens sakerhetsstatus. Begara uppdaterade compliance-rapporter, folj upp incidenter och utvvardera om leverantoren fortfarande uppfyller era krav.
4. Incidenthanteringssamordning
Nar en incident intraffar hos er molnleverantor behover ni en etablerad process for hur information floder mellan leverantoren och er. Definiera kontaktpersoner, kommunikationskanaler och eskaleringsnivaer i forvasg.
[PERSONAL EXPERIENCE] I var erfarenhet ar avtalsregleringen den svagaste lanken. Manga svenska foretag anvander standardavtal fran molnleverantorer utan att forhandla sakerhetsbilagor. For storre leverantorer som AWS, Azure och GCP ar standardavtalen ofta robusta, men for mindre nischade molntjanster saknas ofta incidentnotifiering och revisionsrattigheter.
Hur valjer ni en NIS2-kompatibel molnpartner?
Att valja molnpartner under NIS2 kraver en strukturerad utvardaring. Enligt Gartner, 2024, utvardeerar de flesta organisationer 2-3 leverantorer innan beslut. Har ar de viktigaste kriterierna att bedoma.
Certifieringar och compliance-dokumentation
Krav SOC 2 Type II-rapport (inte bara Type I). Granska ISO 27001-certifikatets omfattning, den ska tacka de tjanster ni anvander. CSA STAR-certifiering (Cloud Security Alliance) visar molnspecifik sakerhetsmognad. For europeiska leverantorer ar EUCS (EU Cloud Certification Scheme) under utveckling och kommer bli alltmer relevant.
Datalokalisering och jurisdiktion
Var lagras och behandlas er data? NIS2 staller inga explicita krav pa datalokalisering, men praktiska overvaganden som tillsynsmyndigheters tillgang, GDPR-krav och latens gor EU-baserad lagring foredraget. Kontrollera att leverantoren erbjuder regioner inom EU och helst inom Sverige eller Norden.
Incidenttransparens
Hur hanterar leverantoren incidenter? Har de en offentlig statussida? Vilken SLA galler for incidentnotifiering? De basta leverantorerna erbjuder notifiering inom 1-2 timmar for allvarliga incidenter, vilket ger er tillracklig tid for NIS2:s 24-timmars rapportering.
Teknisk sakerhetskapacitet
Erbjuder leverantoren inbyggda sakerhets-tjanster som hotdetektering, krypteringshantering, atkomstkontroll och natverkssakerhet? Molnleverantorer med starka inbyggda sakerhetstjanster gorger det lattare for er att uppfylla NIS2:s tekniska krav.
> Citationskapsel: Vid val av molnpartner under NIS2 bor organisationer krava SOC 2 Type II-rapport, ISO 27001-certifiering, dokumenterad incidentnotifierings-SLA och revisionsrattigheter i avtalet. Enligt EY rapporterar 62 % av foretag att tredjepartsrisker ar deras storsta cybersakerhetsoro.
[UNIQUE INSIGHT] En ofta forbisedd aspekt vid val av molnpartner ar exit-strategin. NIS2 kraver driftkontinuitet, och om er molnleverantor gar i konkurs, tappar en kritisk certifiering eller bryter mot NIS2 behover ni kunna migrera. Krav en dokumenterad exit-plan med dataportabilitet och overgangsstod som del av ert avtal.
[INTERNAL-LINK: AWS managed services - /sv/aws-managed-service-provider/]
[INTERNAL-LINK: Azure managed services - /sv/azure-managed-service-provider/]
Hur paverkar shared responsibility-modellen NIS2-compliance?
Shared responsibility ar molnbranschens grundprincip for ansvarsfordelning, men NIS2 komplicerar bilden. Enligt Cloud Security Alliance, 2024, ar oklar ansvarsfordelning den vanligaste orsaken till sakerhetsincidenter i molnmiljoer. Under NIS2 far det konsekvenser.
Problemet ar att shared responsibility-modellen ar en teknisk fordelning, medan NIS2 staller juridiska krav pa den som anvander tjansten. Aven om er molnleverantor "ansvarar" for hypervisor-sakerhet enligt sin modell, ar det ni som maste visa for er tillsynsmyndighet att risken ar hanterad. Ansvaret for compliance kan inte outsourcas, aven om det tekniska arbetet kan det.
I praktiken innebar det att ni maste:
- Dokumentera ansvarsfordelningen skriftligt i ert avtal
- Verifiera att leverantoren uppfyller sin del genom certifieringar och rapporter
- Implementera och dokumentera era egna kontroller for er del
- Ha en samlad bild over hela compliance-statusen for bade er och leverantorens ansvar
[ORIGINAL DATA] I vart arbete med svenska NIS2-foretag ar den vanligaste fragan: "Vi korer i AWS/Azure, ar vi da compliant?" Svaret ar konsekvent nej. Molnleverantoren ger er verktygen, men ni maste anvanda dem korrekt. Vi ser att ungefar 40 % av NIS2-relevanta sakerhetsbrister finns i kundkonfigurationen, inte i leverantorens infrastruktur.
Vanliga fragor om NIS2 och molntjanster
Omfattas SaaS-leverantorer som Salesforce och ServiceNow av NIS2?
Ja, SaaS-leverantorer som erbjuder molntjanster klassas som vasentliga entiteter under NIS2 om de uppfyller definitionen av "molntjanstleverantor". For er som kund innebar det att ni maste bedoma deras sakerhet som del av er leveranskedja, precis som for IaaS- och PaaS-leverantorer.
Maste vi byta molnleverantor om de inte ar NIS2-kompatiblakomplianta?
Inte nodvandigtvis. Borja med att kommunicera era krav och ge leverantoren tid att anpassa sig. Om leverantoren inte kan eller vill uppfylla rimliga sakerhets- och dokumentationskrav bor ni dock planera for byte. NIS2 kraver att ni aktivt hanterar leveranskedjerisken. Enligt ENISA, 2024, planerar 35 % av europeiska foretag att utvvardera sina molnavtal till foljd av NIS2.
Hur hanterar vi multi-cloud-miljoer under NIS2?
Multi-cloud okar komplexiteten. Ni behover separata ansvarsfordelningar, certifieringsgranskningar och avtalsregleringar for varje leverantor. Anvand ett gemensamt ramverk (till exempel NIST CSF 2.0 eller ISO 27001) som grund for att jamfora och aggregera compliance over plattformar.
[INTERNAL-LINK: NIS2 AWS-guide - /sv/blogs/nis2-aws-compliance-mappning-svenska-foretag/]
[INTERNAL-LINK: NIS2 Azure-guide - /sv/blogs/nis2-azure-compliance-krav-microsoft-miljo/]
Vilka avtalspunkter ar mest kritiska for NIS2?
Incidentnotifierings-SLA (maximal tid for leverantoren att informera er), revisionsrattigheter (ert ratt att granska sakerhet), datalokaliseringsgarantier och villkor for underleverantorer. Dessa fyra punkter saknas oftast i standardavtal och bor forhandlas specifikt.
Galler NIS2 om vi anvander en molntjanst utanfor EU?
Ja, era NIS2-skyldigheter galler oavsett var molntjansten ar placerad. Om ni ar en vasentlig eller viktig entitet under NIS2 maste ni sakerstalla att aven icke-EU-leverantorer uppfyller lampliga sakerhetsnivaer. I praktiken kan det vara svarare att fa tillgang till compliance-dokumentation fran leverantorer utanfor EU.
Sammanfattning och nasta steg
NIS2 skapar ett dubbelriktat ansvar for molntjanster. Leverantorer har direkta skyldigheter som vasentliga entiteter. Kunder har skyldigheter att granska, kravstalla och lopande overvaka sina molnleverantorer. Nyckeln ar avtalsreglering, due diligence och en tydlig forstaelse for shared responsibility-modellen.
Borja med att granska era befintliga molnavtal mot NIS2-kraven. Identifiera luckor i incidentnotifiering, revisionsrattigheter och sakerhetsbilagor. For plattformsspecifik compliance-vagledning, las vara guider for AWS och Azure. For den fullstandiga oversikten av NIS2-direktivet, se var NIS2-pilarsida.
[INTERNAL-LINK: NIS2 digital infrastruktur - /sv/blogs/nis2-digital-infrastruktur-dns-ixp-molntjanster/]
Relaterade artiklar
Om författaren
Group COO & CISO at Opsio
Operational excellence, governance, and information security. Aligns technology, risk, and business outcomes in complex IT environments
Editorial standards: This article was written by a certified practitioner and peer-reviewed by our engineering team. We update content quarterly to ensure technical accuracy. Opsio maintains editorial independence — we recommend solutions based on technical merit, not commercial relationships.
