NIS2 och Microsoft 365 - hur Entra ID + Purview minskar er compliance-börda

NIS2:s artikel 21 listar tio riskhanteringsåtgärder som krävs. Sju av dessa har direkta tekniska kontroller inbyggda i Microsoft 365 - om man har rätt licens och konfiguration. För svenska organisationer som redan är M365-tunga är det därför naturligt att starta NIS2-resan från ert befintliga tenant.

Det betyder inte att M365 ensamt löser allt. Men för IAM, kryptering, loggning, incidenthantering och säker e-post är fler kontroller redan på plats än de flesta inser.

Entra ID är NIS2-artikel-21:s krav 9 ("personal-, åtkomst- och tillgångshantering") och krav 10 ("MFA") i en produkt:

• • Conditional Access - kräv MFA, blockera riskbaserad åtkomst, kräv compliant device. Default-policys räcker långt; för NIS2 bör ni dock anpassa till er riskbild.
• • Privileged Identity Management (PIM) - Just-In-Time-administratörsrättigheter. Eliminerar problemet med ständigt aktiva globala admins.
• • Identity Protection - automatisk riskbedömning av inloggningar. Hög-risk-tecken triggar MFA eller blockering.
• • Passwordless - Windows Hello, FIDO2-nycklar, Authenticator. NIS2 kräver inte direkt passwordless men det är en stark indikator på mognad.

Minimikrav för NIS2: MFA på alla externa åtkomster och alla privilegierade konton. Conditional Access-policy som kräver compliant device för åtkomst till känslig data. PIM aktiverat för åtminstone Global Administrator.

Purview adresserar krav 1 (informationssäkerhetspolicy), 8 (kryptografi) och delvis 2 (incidenthantering) genom:

• • Information Protection - automatisk klassificering och kryptering av Office-dokument och mejl baserat på innehåll.
• • Data Loss Prevention (DLP) - förhindrar att personnummer, kortuppgifter och hemlig data delas externt.
• • Audit (Premium) - 1 års retention av högvärde-händelser (mejl-läsning, dokumentåtkomst). Krävs för att kunna utreda incidenter.
• • Insider Risk Management - beteendebaserad detektering av interna hot.

Defender-paketet täcker NIS2-krav 2 (incidenthantering) och delar av krav 5 (säker drift):

• • Defender for Endpoint - EDR på alla klienter, integrerat med Intune-policys.
• • Defender for Office 365 - Safe Links, Safe Attachments, anti-phishing.
• • Defender for Cloud Apps - Shadow IT-upptäckt, anomali-detektering.
• • Defender XDR - automatisk incidentkorrelation. Avgörande för 24/72-timmars-rapportering.

För full NIS2-efterlevnad räcker M365 inte. Specifikt:

• • Leverantörskedjans säkerhet (krav 4) - kräver process och avtal, inte teknik.
• • Verksamhetskontinuitet (krav 3) - backupstrategi över M365 (data residency), DR-test, RTO/RPO-definitioner.
• • Off-tenant-system - affärssystem, kundsystem, OT-miljöer som ligger utanför M365.
• • Ledningens ansvar (krav 7) - utbildning av styrelse och dokumenterat ägarskap.
• • Övning - incidentövningar måste planeras och genomföras manuellt.

För kärn-NIS2-funktionalitet räcker E3 + tillägg, men E5 är väsentligt enklare att leva med:

• • E3: Conditional Access, basal DLP, Information Protection. Saknar PIM, Insider Risk, Defender XDR.
• • E5: Full Purview, full Defender-svit, PIM, Identity Protection. Klart enklare.
• • E5 Security-tillägg till E3: ofta mest kostnadseffektivt om man inte behöver E5:s compliance-del.

Räkna med 50-80 % licenskostnadsökning från E3 till E5 Security - men det motsvarar typiskt halverad tid i NIS2-efterlevnadsarbetet.

Om ni börjar från noll, prioritera så här:

1. MFA på alla användare via Conditional Access (1 vecka)
2. PIM för privilegierade roller (1 vecka)
3. Defender for Endpoint på alla klienter (2-4 veckor inkl. utrullning)
4. Audit (Premium) aktiverat med 1 års retention (1 dag)
5. Defender for Office 365 - Safe Links/Attachments policys (1 vecka)
6. DLP-policy för PII och affärskritisk data (2-4 veckor)
7. Information Protection-labels med automatisk klassning (4-8 veckor)
8. Incidentplan med rollfördelning + övning (parallellt med ovan)