Hoppa till innehåll
SIAX.io
Cybersäkerhet & NIS2NIS2ComplianceArtikel 2117 min läsning

NIS2-compliance: Artikel 21-checklistan för svenska bolag

Artikel 21 är kärnan i NIS2. De sju kravområdena, vad de innebär i praktiken och hur du börjar.

Simon Axelsson
Simon AxelssonIT-konsult & teknisk rådgivare
2 maj 2026Uppdaterad 11:00
00
NIS2-compliance: Artikel 21-checklistan för svenska bolag
Artikel 21 listar de riskhanteringsåtgärder NIS2 kräver.Photo: Unsplash

Artikel 21 är där NIS2 blir konkret. Här är de sju kravområdena, vad var och en innebär för ett svenskt bolag, och en pragmatisk väg till efterlevnad.

NIS2 är ett omfattande direktiv, men för de flesta bolag kokar det praktiska arbetet ner till en paragraf: artikel 21. Det är där direktivet listar de riskhanteringsåtgärder ni faktiskt måste ha på plats. Resten av lagtexten beskriver vilka som omfattas, tillsyn och sanktioner - artikel 21 beskriver vad ni ska göra.

Den här checklistan går igenom de sju områdena, vad var och ett innebär i praktiken för ett svenskt bolag, och var jag brukar börja. Vill ni ha en strukturerad gap-analys gör jag det inom NIS2-compliance.

1. Riskhantering och informationssäkerhetspolicies

Grunden är en dokumenterad, beslutad och förankrad policy för informationssäkerhet - inte ett dokument i en låda, utan något ledningen står bakom och som styr prioriteringar. Riskhantering ska vara en löpande process: identifiera, värdera, åtgärda, följa upp.

2. Incidenthantering och rapportering (24h/72h-regeln)

NIS2 ställer skarpa tidskrav: en tidig varning inom 24 timmar och en mer fullständig rapport inom 72 timmar vid betydande incidenter. I praktiken kräver det att ni vet i förväg vem som larmar, vem som beslutar och vad som rapporteras - innan det smäller. En incidentplan som testats är värd mer än en perfekt plan ingen övat på.

3. Business continuity och katastrofåterställning

Kan verksamheten fortsätta när ett system fallerar? Krav på backup, återställning och kontinuitetsplaner. Det avgörande måttet är inte att backup finns, utan att återställning har testats och att ni vet hur lång tid den tar.

4. Supply chain security och tredjepartshantering

Era leverantörer är en del av er attackyta. NIS2 kräver att ni bedömer och hanterar säkerhetsrisker i leverantörskedjan - vilket i praktiken betyder leverantörsbedömningar, krav i avtal och en aktuell bild av vilka tredjeparter som behandlar er data. Det är här en underleverantörslista blir konkret nytta.

5. Säker systemutveckling och sårbarhetshantering

Säkerhet ska byggas in, inte läggas på efteråt: säkra utvecklingsrutiner, hantering av sårbarheter och en kanal för att ta emot rapporter. En publik säkerhetspolicy och en process för ansvarsfull sårbarhetsrapportering hör hit.

6. Kryptering och nyckelhantering

Kryptering i vila och i transit som standard, med en genomtänkt hantering av nycklar. Det handlar mindre om att välja den starkaste algoritmen och mer om att ha ordning på var nycklar finns, vem som har åtkomst och hur de roteras.

7. Privilegierad åtkomst och MFA

Multifaktorautentisering där det betyder något, och strikt styrning av privilegierade konton enligt least privilege. De flesta allvarliga intrång utnyttjar stulna eller övergeneröst tilldelade behörigheter - det här området ger mest säkerhet per investerad krona.

▶ NIS2-gap-analys på några veckor. Jag mäter er mognad mot artikel 21 och ger en prioriterad åtgärdsplan - se NIS2-compliance eller NIS2 Readiness-sprinten.

Var du bör börja

Börja inte med att köpa verktyg. Börja med en gap-analys: var står ni mot de sju områdena idag? Prioritera sedan efter risk och insats. Område 7 (åtkomst och MFA) och område 2 (incidentrapportering) ger ofta mest trygghet snabbast. Se även den praktiska NIS2-checklistan.

Relaterat

Vill du ta det vidare?

Jag hjälper svenska bolag att nå NIS2-efterlevnad utan att drunkna i ramverk. Boka ett samtal så går vi igenom var ni står mot artikel 21.

Artikel 21 beskriver vad ni ska göra. Börja inte med verktyg - börja med en gap-analys och prioritera efter risk.

- Simon Axelsson

Vanliga frågor

Vad är artikel 21 i NIS2?
Artikel 21 listar de riskhanteringsåtgärder som omfattade verksamheter måste vidta - sju områden från policies och incidenthantering till leverantörskedja, kryptering och åtkomststyrning. Det är den del av direktivet som blir mest konkret i det praktiska arbetet.
Vad innebär 24/72-timmarsregeln?
Vid en betydande incident ska en tidig varning lämnas inom 24 timmar och en mer fullständig rapport inom 72 timmar. Det kräver att roller och rutiner är bestämda i förväg.
Hur vet vi om vi omfattas av NIS2?
NIS2 träffar fler sektorer och storlekar än det tidigare NIS-direktivet. En del av en gap-analys är att klargöra om och hur ni omfattas innan ni investerar i åtgärder.
Taggar:NIS2ComplianceArtikel 21Cybersäkerhet

Om författaren

Simon Axelsson
Simon AxelssonIT-konsult & teknisk rådgivare

Simon Axelsson är senior IT-konsult och grundare av SIAX Technology AB. Han hjälper nordiska företag med molninfrastruktur, dataplattformar och AI-automation.

Fler artiklar av Simon

More from the Blog

Visa alla
Cybersäkerhet & NIS2

AI-drivna cyberhot – den nya hotbilden 2026

2026-06-13T09:00:00
Cybersäkerhet & NIS2

Incidentrapportering enligt NIS2 – steg-för-steg från upptäckt till avslut

2026-06-13T09:00:00
Cybersäkerhet & NIS2

ISO 27001 vs SOC 2 vs NIS2: Vilket certifikat ger mest värde 2026?

2026-05-02T09:00:00
Cybersäkerhet & NIS2

NIS2 – så påverkas just ditt företag beroende på sektor

2026-06-13T09:00:00