Penetrationstest för NIS2: så uppfyller ni kraven
Group COO & CISO
Operational excellence, governance, and information security. Aligns technology, risk, and business outcomes in complex IT environments
Penetrationstest för NIS2: så uppfyller ni kraven
NIS2-direktivet ställer explicita krav på att organisationer regelbundet testar och utvärderar sin cybersäkerhet — och penetrationstest är den mest konkreta metoden att visa att ni faktiskt gör det. Direktivet, som ska vara implementerat i nationell lagstiftning i EU:s medlemsstater, berör minst 160 000 organisationer i Europa. Från Opsios SOC i Karlstad ser vi dagligen hur organisationer som testar proaktivt hittar och åtgärdar kritiska brister månader innan en angripare hinner utnyttja dem.
Viktiga slutsatser
- NIS2 kräver regelbundna säkerhetstester — penetrationstest är den mest effektiva metoden att visa efterlevnad
- Väsentliga och viktiga enheter har olika kravnivåer, men båda behöver dokumenterad testning
- Hotbildsstyrd testning (TLPT) enligt DORA gäller finanssektorn — NIS2 har bredare men delvis överlappande krav
- Testning som bara täcker teknik missar hälften: processer och mänskligt beteende måste ingå
- Sanktioner upp till 10 MEUR eller 2 % av global omsättning gör bristande efterlevnad till en affärsrisk
Vad NIS2 faktiskt kräver av er säkerhetstestning
NIS2 (direktiv (EU) 2022/2555) ersätter det ursprungliga NIS-direktivet och utvidgar kravbilden avsevärt. Artikel 21 är kärnan: organisationer ska vidta "lämpliga och proportionerliga tekniska, operativa och organisatoriska åtgärder" för att hantera risker. Punkt (e) specificerar att detta inkluderar "säkerhet vid anskaffning, utveckling och underhåll av nätverks- och informationssystem, inklusive hantering och offentliggörande av sårbarheter."
I praktiken innebär det att ni ska kunna visa att ni aktivt identifierar och åtgärdar sårbarheter — inte bara att ni har en brandvägg och ett antivirusprogram.
Väsentliga kontra viktiga enheter
NIS2 delar in organisationer i två kategorier med olika tillsynsintensitet:
| Aspekt | Väsentliga enheter | Viktiga enheter |
|---|---|---|
| Sektorer | Energi, transport, hälso- och sjukvård, dricksvatten, digital infrastruktur, offentlig förvaltning, rymd, bank, finansmarknadsinfrastruktur | Post, avfallshantering, kemikalier, livsmedel, tillverkning, digitala tjänster, forskning |
| Tillsyn | Proaktiv (ex ante) — myndigheten kan granska utan incident | Reaktiv (ex post) — granskning vid indikation på bristande efterlevnad |
| Max sanktion | 10 MEUR eller 2 % av global årsomsättning | 7 MEUR eller 1,4 % av global årsomsättning |
| Testningskrav | Regelbundna och dokumenterade penetrationstester förväntas | Proportionerlig testning — men "proportionerlig" betyder inte "ingen" |
| Ledningsansvar | Personligt ansvar för styrelse/ledning vid bristande åtgärder | Personligt ansvar för styrelse/ledning vid bristande åtgärder |
Notera att ledningsansvar gäller båda kategorierna. Artikel 20 slår fast att ledningsorgan ska godkänna cybersäkerhetsåtgärderna och kan hållas ansvariga om de inte gör det.
Hur NIS2 relaterar till DORA
Organisationer i finanssektorn hör ofta NIS2 och DORA (Digital Operational Resilience Act) nämnas i samma andetag. Relationen är enkel: DORA är lex specialis för finanssektorn, vilket innebär att dess krav gäller framför NIS2 där de överlappar. DORA ställer specifika krav på hotbildsstyrd penetrationstestning (Threat-Led Penetration Testing, TLPT) enligt TIBER-EU-ramverket, med testkrav minst vart tredje år för systemviktiga aktörer.
Är ni verksamma inom finans och klassas som systemviktiga? Då är det DORA:s TLPT-krav ni ska förhålla er till. Driver ni digital infrastruktur som stödjer finanssektorn? Då kan både NIS2 och DORA vara relevanta.
Vill ni ha expertstöd med penetrationstest för nis2: så uppfyller ni kraven?
Våra molnarkitekter hjälper er med penetrationstest för nis2: så uppfyller ni kraven — från strategi till implementation. Boka ett kostnadsfritt 30-minuters rådgivningssamtal utan förpliktelse.
Penetrationstest kontra sårbarhetsskanning: en avgörande skillnad
En av de vanligaste felmatchningarna vi ser hos kunder som försöker uppfylla NIS2 är att de förväxlar automatiserad sårbarhetsskanning med penetrationstest. Det är som skillnaden mellan att kontrollera att dörren har ett lås och att faktiskt försöka bryta sig in.
| Egenskap | Sårbarhetsskanning | Penetrationstest |
|---|---|---|
| Metod | Automatiserade verktyg skannar mot kända CVE:er | Kvalificerad testare simulerar verkliga angrepp manuellt |
| Djup | Bred yta, grunt djup | Fokuserad yta, djup exploitation |
| Falskt positiva | Högt antal | Verifierade fynd |
| Affärskontext | Saknas — listar sårbarheter utan kontext | Visar faktisk konsekvens: "vi kom åt kunddata via X" |
| Frekvens | Kontinuerligt/veckovis | Minst årligen + vid större förändringar |
| NIS2-relevans | Nödvändig hygienfaktor, men otillräcklig ensam | Krävs för att visa faktisk motståndskraft |
Båda behövs. Sårbarhetsskanning ger kontinuerlig överblick. Penetrationstest ger den verklighetsförankring som NIS2 kräver när tillsynsmyndigheten frågar: "Hur vet ni att era skyddsåtgärder faktiskt fungerar?"
Praktisk metodik: så strukturerar ni ert NIS2-anpassade penetrationstest
Baserat på vad vi ser fungera i produktion hos våra kunder — och vad som håller vid granskning — rekommenderar vi en struktur i fem faser.
Fas 1: Scope och riskanalys
Börja inte med att testa allt. Börja med att identifiera vad som faktiskt är kritiskt enligt NIS2:s perspektiv. Det handlar om de nätverks- och informationssystem som stödjer de tjänster ni levererar som väsentlig eller viktig enhet. Kartlägg:
- Kritiska tjänster — vilka tjänster gör att ni faller under NIS2?
- Stödjande system — vilka IT-system, molnmiljöer och OT-komponenter understödjer dessa tjänster?
- Leverantörskedjor — NIS2 ställer explicit krav på att ni bedömer risker i leverantörskedjan (artikel 21.2d)
Fas 2: Hotmodellering
Slumpmässig testning ger slumpmässiga resultat. Utgå från den hotbild som faktiskt är relevant för er sektor. Energisektorn har andra hotaktörer än en SaaS-leverantör. Vi rekommenderar att utgå från MITRE ATT&CK-ramverket och anpassa angreppsscenarierna efter:
- Kända taktiker, tekniker och procedurer (TTP:er) som används mot er bransch
- Geopolitisk hotbild — särskilt relevant för kritisk infrastruktur i Norden
- Insider-hot — NIS2 nämner explicit den mänskliga faktorn
Fas 3: Teknisk testning
Det här är själva penetrationstestet. Det bör täcka minst:
- Extern testning — perimetern sedd utifrån: exponerade tjänster, VPN-gateways, webbapplikationer, API:er
- Intern testning — vad händer när en angripare redan har fotfäste i nätverket (komprometterad arbetsstation, stulen VPN-åtkomst)?
- Molnmiljöer — felkonfigurationer i AWS, Azure eller GCP är en av de vanligaste vektorerna vi ser i Opsios SOC. IAM-policyer, publika S3-buckets, överexponerade Kubernetes-kluster
- Active Directory / Entra ID — identitetsinfrastruktur är nästan alltid angriparens primära mål
- OT/SCADA (om tillämpligt) — kritisk infrastruktur har ofta IT/OT-konvergenspunkter som är bristfälligt skyddade
Fas 4: Testning av processer och människor
Teknisk testning ensam räcker inte för NIS2-efterlevnad. Artikel 21 kräver organisatoriska åtgärder, och det inkluderar:
- Social engineering / nätfiske-simuleringar — testar medarbetarnas motståndskraft och era processer för att hantera phishing
- Incidenthanteringsövning — kan ni faktiskt rapportera en incident inom 24 timmar som NIS2 kräver? Testa det skarpt
- Behörighetsgranskningar — har rätt personer rätt åtkomst? Principen om minsta behörighet är grundläggande
Fas 5: Rapportering och åtgärdsplan
En penetrationstestrapport som bara listar CVE-nummer är värdelös för NIS2. Rapporten måste:
- Koppla fynd till affärsrisk — inte bara "SQLi i webbappen" utan "vi fick åtkomst till 40 000 kundposter via SQLi i betalningsportalen"
- Prioritera enligt faktisk exploaterbarhet — CVSS-poäng ljuger ibland. Kontextuell riskbedömning är viktigare
- Innehålla en konkret åtgärdsplan med ansvarig, tidslinje och verifieringsmetod
- Vara strukturerad för tillsynsmyndigheten — MSB (Myndigheten för samhällsskydd och beredskap) eller sektorsspecifik tillsynsmyndighet kan begära dokumentation
Svensk kontext: tillsyn och nationell implementering
I Sverige ansvarar MSB för den övergripande tillsynen av NIS2-implementeringen, med sektorsspecifika tillsynsmyndigheter för respektive bransch. Integritetsskyddsmyndigheten (IMY) hanterar GDPR-aspekter som ofta sammanfaller med NIS2-krav — en dataintrångsincident är typiskt sett både en NIS2-incident och en GDPR-incident.
Några praktiska konsekvenser för svenska organisationer:
- Incidentrapportering ska ske inom 24 timmar (tidig varning) och med fullständig rapport inom 72 timmar
- Tillsyn blir proaktiv för väsentliga enheter — räkna med att bli granskade utan att en incident har inträffat
- Dokumentationskrav är höga: ni ska kunna visa policyer, riskanalyser, testresultat och åtgärdsplaner
Penetrationstestrapporter blir en del av er efterlevnadsdokumentation. Strukturera dem därefter från dag ett.
Vanliga misstag vi ser i praktiken
Från Opsios SOC och vårt arbete med NIS2-efterlevnad ser vi återkommande mönster:
1. Testning som alibi, inte som säkerhetsåtgärd. Årligt penetrationstest som aldrig leder till åtgärder. NIS2 kräver inte bara att ni testar — ni ska visa att ni agerar på resultaten.
2. Molnmiljöer utanför scope. Många organisationer exkluderar sina AWS- eller Azure-miljöer från penetrationstestet för att "molnleverantören ansvarar för säkerheten". Shared responsibility model betyder att er konfiguration är ert ansvar. Och det är nästan alltid i konfigurationen som bristerna sitter.
3. Ingen koppling till incidenthantering. Penetrationstestets fynd ska mata in i era incidenthanteringsplaner. Hittade testaren en väg in via VPN? Då ska er SOC ha detektionsregler för det scenariot.
4. Leverantörskedjan glöms bort. NIS2 artikel 21.2(d) nämner explicit "säkerhet i leverantörskedjan." Ni behöver inte penetrationstesta era leverantörer, men ni behöver verifiera att de genomför adekvat testning.
Bygga ett kontinuerligt testprogram
NIS2-efterlevnad är inte ett årligt projekt — det är ett kontinuerligt program. Så här rekommenderar vi att strukturera det:
| Aktivitet | Frekvens | Syfte |
|---|---|---|
| Automatiserad sårbarhetsskanning | Veckovis | Identifiera kända sårbarheter kontinuerligt |
| Penetrationstest (externt + internt) | Minst årligen | Verifiera faktisk motståndskraft |
| Red team-övning | Vart 2–3 år | Testa hela kedjan: teknik, process, människa |
| Nätfiske-simulering | Kvartalsvis | Mäta och förbättra medarbetarresiliens |
| Konfigurationsgranskning (moln) | Månadsvis | Fånga drift i molnkonfiguration |
| Incidentövning (tabletop) | Halvårsvis | Verifiera att rapporteringskrav kan uppfyllas |
Det här är ingen önskelista — det är vad vi ser krävs för att hålla en NIS2-efterlevnad som är verklig, inte bara på papper.
Att välja rätt testpartner
En penetrationstestare som ska stödja NIS2-efterlevnad behöver mer än teknisk skicklighet. Utvärdera:
- Certifieringar: OSCP, OSCE, CREST eller motsvarande — inga genvägar
- Sektorskunskap: förstår testaren er branschs hotbild och regelverk?
- Rapporteringskvalitet: begär exempelrapporter. Är fynden kopplade till affärsrisk?
- Molnkompetens: kan testaren arbeta i AWS, Azure och GCP med förståelse för respektive plattforms säkerhetsmodell?
- Uppföljning: erbjuder partnern verifieringstest efter att ni åtgärdat fynden?
En managerad tjänsteleverantör (MSP) med integrerad SOC-kapacitet kan koppla penetrationstestets fynd direkt till er löpande övervakning — det är så testning blir operationell säkerhet istället för en hyllvärmare.
Vanliga frågor
Hur ofta kräver NIS2 penetrationstest?
NIS2 specificerar inte exakt frekvens i direktivtexten, men kräver att säkerhetsåtgärder "regelbundet" testas och utvärderas. I praktiken innebär det minst årliga tester för väsentliga enheter och vid varje väsentlig infrastrukturförändring. Nationella tillsynsmyndigheter kan ställa strängare krav.
Vad är skillnaden mellan NIS2-penetrationstest och DORA:s TLPT?
DORA (Digital Operational Resilience Act) kräver hotbildsstyrd penetrationstestning (TLPT) enligt TIBER-EU-ramverket för systemviktiga finansiella aktörer, minst vart tredje år. NIS2 är bredare och täcker fler sektorer men ger mer flexibilitet i testmetodik. Organisationer som omfattas av båda måste uppfylla DORA:s strängare krav.
Kan vi använda sårbarhetsskanning istället för penetrationstest?
Nej, inte som enda åtgärd. Sårbarhetsskanning identifierar kända brister automatiskt men testar inte om de faktiskt kan utnyttjas i er specifika miljö. NIS2 kräver att ni verifierar er faktiska motståndskraft — det kräver manuell, kvalificerad testning som simulerar verkliga angreppsscenarier.
Vilka sektorer omfattas av NIS2:s krav på penetrationstest?
NIS2 omfattar 18 sektorer uppdelade i väsentliga (energi, transport, hälso- och sjukvård, dricksvatten, digital infrastruktur, offentlig förvaltning, rymd) och viktiga (post, avfallshantering, livsmedel, kemikalier, tillverkning, digitala tjänster m.fl.). Alla omfattade organisationer ska ha proportionerliga säkerhetstester.
Vad händer om vi inte genomför penetrationstest enligt NIS2?
Väsentliga enheter riskerar sanktioner upp till 10 miljoner euro eller 2 % av global årsomsättning. Viktiga enheter riskerar upp till 7 miljoner euro eller 1,4 %. Utöver böter kan tillsynsmyndigheter kräva omedelbara åtgärder, och ledningen kan hållas personligt ansvarig.
Relaterade artiklar
Om författaren
Group COO & CISO at Opsio
Operational excellence, governance, and information security. Aligns technology, risk, and business outcomes in complex IT environments
Editorial standards: This article was written by a certified practitioner and peer-reviewed by our engineering team. We update content quarterly to ensure technical accuracy. Opsio maintains editorial independence — we recommend solutions based on technical merit, not commercial relationships.
