Så fungerar NIS2 i praktiken

NIS2 är EU:s uppdaterade direktiv för att höja lägstanivån i hela unionen och stärka motståndskraften mot cyberangrepp. Det ersätter NIS1, omfattar fler sektorer och inför tydligare krav på riskhantering, incidentrapportering och ledningens ansvar. Direktivet täcker över arton samhällsviktiga och viktiga sektorer, från energi, vård och transport till digital infrastruktur, datacenter och managed service providers. Sanktionerna är högre och tillsynen skarpare än tidigare.

Hur påverkar det vårt företag?

Kort sagt: om ni är medelstora eller större i en relevant sektor, eller levererar kritiska tjänster i andras värdekedja, är ni sannolikt omfattade. Som tumregel räknas företag med över 50 anställda eller över 10 miljoner euro i omsättning inom utpekade sektorer, men även mindre aktörer kan omfattas om de har stor påverkan på samhällsviktiga tjänster. I Sverige koordinerar myndigheter som MSB arbetet och sektorsvisa tillsynsmyndigheter pekas ut i lagstiftningen. För många företag innebär detta att informationssäkerhet går från “bra att ha” till ett uttryckligt efterlevnadskrav med tidsfrister och dokumentationsplikt.

Vad krävs för efterlevnad i praktiken?

Kärnan är ett riskbaserat arbetssätt som är mätbart och spårbart. Det betyder att ni ska kunna visa hur ni förebygger, upptäcker, hanterar och återhämtar er från cyberincidenter. I praktiken handlar det om att etablera och drifta ett säkerhetsprogram med bland annat:

• Styrning och ansvar: ledningsbeslut, policyer, utbildning och regelbunden uppföljning.
• Tekniska och organisatoriska kontroller: Multi-Factor Authentication (MFA), patchning, härdning av klienter och servrar, segmenterat nätverk, kontinuerlig loggning och övervakning, säkerhetskopiering med återställningstester, leverantörs- och tredjepartsriskhantering samt övade incidentplaner med rapportering inom 24 timmar för tidig varning, 72 timmar för incidentanmälan och slutrapport inom en månad.

Vilka steg ska du ta nu?

Börja smått men rätt – och bygg vidare i tydliga iterationer.

• Genomför en gap- och risk- och säkerhetsanalys mot NIS2-kraven. Kartlägg tillgångar, hot, sannolikhet/konsekvens och existerande kontroller. Prioritera åtgärder med störst riskreduktion per investerad krona.
• Etablera grunden: besluta ansvar i ledningen, uppdatera policyer, aktivera MFA brett, säkra backup för företag med verifierade återställningstester, inför central logghantering och 24/7-larm på kritiska system. Dokumentera processer och starta incidentövningar kvartalsvis.
  

Vad händer om vi inte följer kraven?

NIS2 medger administrativa sanktionsavgifter upp till 10 miljoner euro eller 2 procent av global omsättning, beroende på överträdelsens art. Ledningen kan få uttryckligt ansvar för att säkerhetsarbetet är på plats, och tillsynsmyndigheten kan förelägga åtgärder. Utöver juridiska konsekvenser riskerar ni driftstopp, avtalsbrott och skadat förtroende hos kunder och partners – ofta dyrare än själva böterna. Att ligga steget före minskar både regulatorisk och kommersiell risk.

Hur hänger NIS2 ihop med våra verktyg och vardag?

Direktivet är teknikneutralt men tydligt kring resultat: starkare åtkomstkontroller, spårbarhet och snabbare återställning. Det passar väl ihop med moderna plattformar. Exempel: i Microsoft 365 kan ni höja baslinjen snabbt genom att slå på villkorlig åtkomst, MFA och privilegierad åtkomsthantering, samt ansluta loggar till en SIEM-lösning för korrelation och larm. På infrastrukturnivå handlar det om att segmentera nät, uppgradera brandväggar, standardisera patch-rutiner och säkra molnkonfigurationer. Det viktiga är inte att köpa “allt” – utan att riskprioritera och visa effekt.

Hur kan DSolution hjälpa – utan att överkomplicera?

Vi fokuserar på tempo, tydlighet och mätbar nytta. DSolution erbjuder en snabbstart som ger kontroll på veckor, inte månader: en praktisk gap-analys mot NIS2, prioriterad åtgärdsplan, samt implementering av de 5–7 mest riskreducerande kontrollerna först. Vi etablerar grundläggande styrning och utbildning, säkrar MFA, backup och loggning, kopplar larm till responsprocessen och förbereder er rapporteringskedja. Därefter skalar vi i den takt som passar er verksamhet och budget. Resultatet: starkare cybersäkerhet, färre driftstörningar och lägre totalrisk för ert säkerhetsarbete inom ramen för modern IT-säkerhet för företag.

Tidslinjer och sektorsspecifik tillsyn

EU:s transponeringstid för NIS2 löpte ut i oktober 2024. I Sverige gäller nationell lagstiftning och sektorsvisa föreskrifter därefter. Följ era branschmyndigheters vägledning för detaljerna, men håll alltid fokus på det riskbaserade hantverket – det är där effekten och efterlevnaden möts.

Vanliga fallgropar att undvika

Underskatta inte leverantörskedjan, där många incidenter startar. Överdokumentera inte så att ni förlamar tempot. Och vänta inte på “perfekt” arkitektur – börja med de kontroller som ger störst riskminskning nu, och förbättra iterativt.

NIS2: gör jobbet enkelt – börja nu

Summerat: NIS2 kräver att ni visar ett levande, riskbaserat säkerhetsprogram med styrning, tekniska kontroller, loggning, backup och snabb incidentrapportering. Vinsten är lägre risk, färre avbrott och starkare förtroende. Ta första steget med en fokuserad analys och en kort, prioriterad åtgärdslista – så är ni på god väg mot både efterlevnad och tryggare drift. Vill du läsa mer om cybersäkerherslagen kan du göra det hos Myndigheter för Civilt Försvar.