Blogg Draftit

NIS2-direktivet: Informationssäkerhet som måste fungera i praktiken

Skriven av Admin | juni 3, 2025

Det har aldrig räckt att informations- och cybersäkerhet existerar som en policy i en pärm eller lösningar på enskilda tekniska öar. NIS 2-direktivet slår fast att organisationer som omfattas måste införa ett faktiskt, dokumenterat och systematiskt informationssäkerhetsarbete – som är riskbaserat, implementerat, utvärderat och kontinuerligt förbättras över tid.

Det handlar alltså inte om att ”NIS2-säkra” en enskild funktion, utan om att bygga en levande säkerhetsstruktur i hela verksamheten. En struktur som ska vara proportionerlig i förhållande till risker och beroenden – och framför allt styrd från högsta ledningsnivå. Det är här artikel 21 i NIS2-direktivet och genomförandeförordning (EU) 2024/2690 blir avgörande.

Vad innebär NIS2-kraven i praktiken?

Enligt artikel 21 i NIS 2-direktivet ska både väsentliga och viktiga entiteter vidta tekniska, operativa och organisatoriska åtgärder som:

  • Baseras på en riskbedömning

  • Är proportionerliga i förhållande till hotbild, beroenden och verksamhetens kritikalitet

  • Syftar till att förebygga, upptäcka, hantera och återställa efter incidenter

Detta är inte ett område med tolkningsfrihet. Kravbilden preciseras i kommissionens genomförandeförordning från 2024, där särskilda åtgärdskategorier pekas ut som minimikrav.

Tekniska och organisatoriska krav enligt NIS2

Minimikraven som specificeras i förordningen omfattar bland annat:

  • Riskanalyser och säkerhetspolicys för informationssystem

  • Rutiner för incidenthantering och kontinuitetsplanering

  • Hantering av leverantörer och externa beroenden

  • Åtkomstkontroller och säker konfiguration av nätverk

  • Åtgärder för säker utveckling och livscykelhantering för IT-system

  • Kompetenshöjande insatser och intern medvetenhet om säkerhetsfrågor

Det är avgörande att dessa åtgärder genomförs i praktiken, följs upp systematiskt och kan redovisas vid tillsyn. För konkret vägledning är ENISA:s vägledning ett mycket värdefullt stöd – med hög kvalitet och trovärdighet. (Tips: håll utkik efter slutversionen som väntas innan utgången av juni månad.)

NIS2 kräver mer än teknik – det kräver styrning och systematik

Informations- och cybersäkerhet handlar inte enbart om tekniska lösningar. Det kräver styrning, kompetens, kvalitet och kontinuitet. Organisationen måste förstå sina beroenden, kritiska processer och informationsflöden.

Ett fungerande systematiskt informationssäkerhetsarbete innebär att säkerheten integreras i den övergripande verksamhetsarkitekturen – från strategisk planering till upphandling, bemanning, drift, personalprocesser och beslutsunderlag för ledningen. Arbetet måste vara:

  • dokumenterat

  • förankrat i ledningen

  • föremål för uppföljning, granskning och förbättring

Dessutom måste externa relationer inkluderas – leverantörer, tjänsteplattformar och andra tredjepartsaktörer ska ses som en del av den egna riskbilden.

Vad bör ni göra nu för att leva upp till NIS 2-direktivet?

Om ni redan omfattas – eller kan komma att omfattas, direkt eller indirekt – behöver ni agera. Här är några viktiga steg:

  1. Säkerställ att styrelse och ledning är involverade, definierar er riskaptit och att resurser med tillräcklig budget och mandat finns på plats
  2. Kartlägg era verksamhetskritiska tillgångar och beroenden, både interna och externa
  3. Genomför en strukturerad riskanalys, inklusive hot, sårbarheter och konsekvenser
  4. Inför tekniska och organisatoriska åtgärder enligt artikel 21 och genomförandeförordningen
  5. Etablera rutiner för incidenthantering, kontinuitet och lärande – inklusive kontinuerliga övningar
  6. Arbeta aktivt med kompetensförsörjning och intern medvetenhet – från ledning till operativ personal
  7. Dokumentera, följ upp och förbättra ert säkerhetsarbete med hjälp av etablerade förbättringscykler

Det tål att upprepas: NIS2 förutsätter att informationssäkerhet är en integrerad del av styrningen. Det handlar inte om compliance för sakens skull – utan om att stå bättre rustad mot cyberhot, beroenderisker och allvarliga störningar.

Få hjälp att implementera NIS 2 – på riktigt

NIS 2-direktivet ställer höga krav på både säkerhetsåtgärder och ledningens ansvar. För att underlätta ert arbete har vi tagit fram en konkret lösning: Implementering av NIS 2 – en praktisk guide.

Denna guide hjälper er att:

  1. Avgöra om ni omfattas av direktivet
  2. Förstå styrelsens och ledningens ansvar
  3. Införa rätt säkerhetsåtgärder från början
  4. Undvika sanktioner vid tillsyn
  5. Knyta ert arbete till ramverk som ISO 27001

Vill du se hur det fungerar i praktiken? Boka en demovisning så visar vi hur vi kan hjälpa er.
Visa hela inlägget