Operativ checklista för NIS2 artikel 21. Vad du faktiskt behöver göra.
Artikel 21 i NIS2 listar de riskhanteringsåtgärder ett omfattat bolag måste ha, men den är skriven som en kravlista, inte som en handbok. Det lämnar många med frågan: vad gör vi faktiskt, och i vilken ordning? Den här artikeln är den operativa motsvarigheten, en checklista som översätter kraven till konkreta steg ett svenskt bolag kan börja jobba av direkt.
Jag genomför NIS2-gap-analyser och hjälper bolag att nå efterlevnad inom NIS2-compliance. För en genomgång av själva kravområdena rekommenderar jag pelarartikeln NIS2-compliance: Artikel 21-checklistan; den här texten fokuserar på görandet. Det är en viktig distinktion: många bolag fastnar i att förstå direktivet på djupet när de egentligen behöver komma igång med att åtgärda. Min erfarenhet är att efterlevnad sällan kräver heroiska insatser, men den kräver att man faktiskt börjar i rätt ände och håller ett jämnt tempo istället för att vänta på den perfekta planen.
Steg 1: Klargör om och hur ni omfattas
Innan ni investerar en krona, fastställ om ni faktiskt omfattas och som vilken kategori. NIS2 skiljer på väsentliga och viktiga entiteter, och kraven samt tillsynen skiljer sig. Det här är inte en teknisk fråga utan en verksamhetsfråga: vilken sektor, vilken storlek, vilken roll i leveranskedjan. Slutsatsen avgör hur tungt resten blir.
Steg 2: Gör en gap-analys mot de sju områdena
Mät nuläget mot de sju kravområdena i artikel 21: riskhantering, incidenthantering, kontinuitet, leverantörskedja, säker utveckling, kryptering och åtkomststyrning. Resultatet ska vara en ärlig lista över var ni står, inte en självskattning som mest får alla att känna sig nöjda. Här gör jag mid-vägs alltid samma sak: poängsätter mognaden per område så att vi ser var de verkliga luckorna finns. Vill ni ha den gjord strukturerat ingår det i NIS2-compliance.
Steg 3: Prioritera efter risk och insats
Ni behöver inte stänga alla luckor samtidigt, och försöker ni det riskerar ni att tappa fart och låta hela arbetet rinna ut i sanden. Prioritera där risken är hög och insatsen rimlig. Ett enkelt sätt att tänka är att placera varje åtgärd i ett rutnät av risk mot ansträngning: börja med det som ligger i hörnet hög risk och låg ansträngning, eftersom det ger mest säkerhet per investerad timme. Spara det som är hög ansträngning men lägre risk till senare. På så sätt får ni snabba, synliga förbättringar tidigt, vilket både minskar er faktiska exponering och bygger förtroende internt för att arbetet leder någonstans. I praktiken ger två områden nästan alltid mest trygghet snabbast:
- Åtkomststyrning och MFA, multifaktor på alla konton och least privilege stänger de vanligaste angreppsvägarna. Mer i Zero Trust för SMB.
- Incidenthantering, en testad plan med tydliga roller, så att 24- och 72-timmarsrapporteringen fungerar i skarpt läge. Mer i incident response-planen.
Steg 4: Dokumentera och förankra hos ledningen
NIS2 gör ledningen ansvarig för cybersäkerhetsarbetet, och det är inte symboliskt. Policies ska vara beslutade, riskbeslut ska vara dokumenterade och ledningen ska kunna visa att de förstår och styr arbetet. En stor del av det praktiska NIS2-arbetet är att skapa det styrande underlaget, inte för pärmens skull, utan för att det är så efterlevnad faktiskt ser ut.
I praktiken betyder ledningsansvaret att cybersäkerhet flyttar från en IT-fråga till en styrelse- och ledningsfråga. Det räcker inte att en säkerhetsansvarig längst ner i organisationen vet vad som gäller; besluten om risk, prioritering och resurser ska fattas och ägas högre upp. För många bolag är det här den största kulturförändringen NIS2 medför. Ett konkret sätt att hantera det är att lägga in en återkommande säkerhetsgenomgång på ledningsagendan, där riskbilden och statusen på åtgärderna föredras regelbundet. Då blir ansvaret levande och dokumenterat på samma gång, istället för en formell underskrift på ett dokument ingen läser.
Dokumentation som faktiskt används
Ett ord om dokumentationen, eftersom den ofta blir fel. Syftet är inte att producera så många sidor som möjligt, utan att ha underlag som styr verkligt beteende och som går att visa upp vid tillsyn. En kort, aktuell och faktiskt följd policy är värd oändligt mycket mer än en omfattande lunta som ingen öppnat sedan den skrevs. Min rekommendation är att hålla dokumentationen så lätt som kraven tillåter och knyta varje dokument till en faktisk rutin. Då slipper ni den vanliga fällan att lägga veckor på att skriva styrdokument som beskriver en verksamhet ni inte har, och får i stället papper som speglar och stärker hur ni faktiskt arbetar.
Steg 5: Hantera leverantörskedjan
Era leverantörer är en del av er attackyta, och artikel 21 kräver att ni hanterar risken. Konkret: en aktuell lista över kritiska tredjeparter, säkerhetskrav i avtalen och en process för att bedöma nya leverantörer. Det här överlappar starkt med kraven i DORA för den som omfattas av båda.
Steg 6: Gör det till en process, inte ett projekt
Det vanligaste misstaget efter en lyckad första insats är att betrakta NIS2 som avklarat. Men efterlevnad är ett tillstånd man håller, inte en bock man sätter. Riskbilden förändras, nya leverantörer tillkommer, system byts ut och personal roterar. De bolag som lyckas över tid bygger in NIS2-arbetet i sin normala verksamhetsrytm: återkommande riskgenomgångar, en rutin för att bedöma nya leverantörer, regelbunden test av incidentplanen och en årlig avstämning på ledningsnivå. Det behöver inte vara tungt, men det måste vara löpande. En gap-analys som upprepas med jämna mellanrum är det enklaste sättet att säkerställa att ni inte glider tillbaka.
Var jag brukar börja
Börja med steg 1 och 2, omfattningsfrågan och gap-analysen. Det vanligaste misstaget är att hoppa rakt på verktygsinköp utan att veta var de verkliga luckorna finns, vilket leder till att man köper säkerhet man inte behöver och missar den man behöver. När kartan finns blir prioriteringen självklar. Se hur jag lägger upp NIS2-arbete i kundcase.
Relaterat
- DORA för fintech: Operativ resiliens, ICT-risk och tredjepartshantering
- Säkerhetsgranskning av AI-applikationer: OWASP LLM Top 10
- Zero Trust-arkitektur för SMB: Praktisk implementation på 30 dagar
Vill du ta det vidare?
Jag hjälper svenska bolag att gå från NIS2-krav till konkreta åtgärder, prioriterade efter risk. Boka ett samtal så går vi igenom var ni står mot artikel 21.
“Det vanligaste misstaget är att hoppa rakt på verktygsinköp. Börja med omfattningsfrågan och gap-analysen, då blir prioriteringen självklar.”
- Simon Axelsson
Vanliga frågor
- Var börjar man rent praktiskt med NIS2 artikel 21?
- Med omfattningsfrågan och en gap-analys mot de sju kravområdena. Först när ni vet om ni omfattas och var era luckor finns går det att prioritera åtgärder. Att börja med verktygsinköp innan kartan finns leder ofta till fel investeringar.
- Vilka åtgärder ger mest effekt först?
- Åtkomststyrning med MFA och least privilege, samt en testad incidenthanteringsplan. Det första stänger de vanligaste angreppsvägarna, det andra gör att rapporteringskraven på 24 och 72 timmar fungerar i skarpt läge. Båda ger hög trygghet i förhållande till insatsen.
- Måste ledningen vara involverad?
- Ja. NIS2 gör ledningen ansvarig för cybersäkerhetsarbetet. Policies ska vara beslutade och riskbeslut dokumenterade, och ledningen ska kunna visa att de förstår och styr arbetet. Det är ett uttryckligt krav, inte en formalitet.
Simon Axelsson är senior IT-konsult och grundare av SIAX Technology AB. Han hjälper nordiska företag med molninfrastruktur, dataplattformar och AI-automation.
Fler artiklar
