NIS2 år 2026: När efterlevnad möter genomförande

NIS2: Från planering till operativ verklighet

Arbetet med NIS2 har förändrat karaktär under 2026. Det handlar inte längre om vad organisationen behöver göra, utan om att få kraven att fungera i praktiken. Säkerhetsåtgärder ska vara operativa, tillämpas konsekvent och förankras i tydliga roller och ansvarsområden.

Det ställer höga krav på governance. Ansvar behöver vara tydligt placerat, och arbetet ska utgå från en riskbaserad prioritering där insatserna fokuseras på de mest kritiska systemen och beroendena.

Det är i den här fasen som många organisationer möter de största utmaningarna – inte för att kraven är oklara, utan för att de måste omsättas till konkreta processer i en komplex driftsmiljö.

Bilden är ofta att:

• kontroller är beskrivna, men tillämpas inte konsekvent

• roller är definierade, men inte förankrade i organisationen

• prioriteringar sker ad hoc snarare än riskbaserat

NIS2 ställer inte bara krav på tekniska åtgärder, utan också på förankring i organisationen. Utan ett tydligt ledningsengagemang fragmenteras arbetet och blir svårt att driva framåt.

Resultatet blir att ansvaret för risker är otydligt placerat och att beslut fattas utan en gemensam riskbild.

God governance innebär bland annat:

• tydligt ägarskap på ledningsnivå

• klara roller och ansvarsområden tvärs igenom organisationen

• ett gemensamt förhållningssätt till riskbaserat beslutsfattande

När governance är på plats blir det möjligt att prioritera insatserna och säkerställa framdrift i NIS2-arbetet – särskilt när det gäller scoping, leverantörsstyrning och riskhantering.

LÄS OCSKÅ: Gör dig redo för NIS2

Scoping: Vad omfattas egentligen av NIS2?

Scoping är ett av de områden där många organisationer tappar överblicken.

NIS2 utgår från begreppet nätverk och informationssystem. Det täcker bredare än klassiska IT-system och omfattar alla tillgångar som kan påverkas av cyberhot, däribland:

• system och applikationer

• nätverk och infrastruktur

• databaser och dataplattformar

• digitala tjänster

De vanligaste misstagen är att behandla alla system likadant och att ta fram omfattande systemlistor utan prioritering. Resultatet blir en splittrad insats där de mest kritiska områdena inte får tillräckligt fokus.

Därför är klassificering avgörande. System bör bedömas utifrån deras betydelse för:

• organisationens kärnverksamhet

• leveransen av de tjänster som omfattas av NIS2

• konsekvenserna vid driftstopp eller intrång

Det ger grunden för att prioritera insatserna och säkerställa att resurser används där risken är störst.

Samma princip gäller för leverantörer.

Inte alla leverantörer är relevanta i ett NIS2-sammanhang. Fokus bör vara avgränsat och riktat mot de leverantörer som faktiskt påverkar säkerheten.

Ett praktiskt tillvägagångssätt för scoping

En enkel approach till scoping är att:

• kartlägga system och leverantörer

• klassificera dem efter kritikalitet och risk

• prioritera insatserna utifrån de högsta riskerna

Syftet är inte att minska scope, utan att skapa överblick och riktning i arbetet.

Leverantörsstyrning i NIS2: Få ordning på krav och nivåer

Leverantörsstyrning är ett framträdande område inom NIS2, och samtidigt ett område där många organisationer överimplementerar.

Typiskt ställs omfattande krav på samtliga leverantörer, vilket leder till:

• långa kravkataloger

• tunga processer

• bristande framdrift

Resultatet blir ofta det motsatta av intentionen: hög komplexitet och låg effekt.

Leverantörer omfattas inte automatiskt av NIS2, såvida de inte själva är direkt reglerade. Det avgörande är därför inte om leverantören är "NIS2-compliant", utan om säkerhetsnivån är rimlig i förhållande till den risk som leverantören introducerar.

Leverantörer är alltså inte "indirekt omfattade" av NIS2 genom sina kunder. De är ansvariga för att leverera en säkerhetsnivå som är tillräcklig i relation till den specifika leveransen. Organisationen behöver därför differentiera – till exempel:

• En hostingleverantör har typiskt omfattande tekniska säkerhetskrav

• En konsult med systemåtkomst har fokus på åtkomststyrning och awareness

• En leverantör utan åtkomst till data eller system har begränsade krav

För leverantörer innebär detta att individuella kundkrav snabbt skapar parallella kravuppsättningar som ökar komplexitet och kostnader – utan att säkerhetsnivån nödvändigtvis höjs i motsvarande grad.

En mer effektiv approach är att arbeta proaktivt:

• identifiera vilka risker som er lösning introducerar hos kunden

• definiera relevanta säkerhetsåtgärder

• dokumentera dem och gör dem till en del av ert standardupplägg

Det ger en tydlig utgångspunkt i dialogen med kunderna och minskar behovet av att hantera individuella krav från fall till fall.

Så arbetar ni strukturerat med leverantörer

Ett praktiskt tillvägagångssätt kan delas in i tre steg:

1. Ställ krav genom avtal

• Utgå från leverantörens befintliga säkerhetsupplägg där det är möjligt

• Komplettera med specifika krav baserade på risk

2. Följ upp med revision

Anpassa omfattningen efter risk:

• låg risk → deklaration eller självskattning

• hög risk → certifiering eller fördjupad revision

3. Bedöm den samlade risken

• Är säkerhetsnivån tillräcklig?

• Behöver ytterligare krav ställas?

• Finns det behov av alternativ?

Syftet är inte att standardisera kraven, utan att hitta rätt nivå för varje enskild leverantör.

Riskhantering i praktiken

Riskhantering är kärnan i NIS2. Organisationen ska kunna dokumentera att risker har identifierats, bedömts systematiskt och hanterats på välgrundade beslutsunderlag.

Många organisationer har arbetat med riskhantering i många år. Ändå uppstår utmaningar när arbetet ska leva upp till NIS2.

Typiska utmaningar är att:

• riskbedömningar genomförs, men används inte aktivt i prioriteringar

• bedömningar görs på olika sätt inom organisationen

• arbetet blir en dokumentationsövning snarare än ett styrningsverktyg

Konsekvensen är att riskhanteringen tappar sin effekt i beslutsprocesserna.

En välfungerande riskhanteringsprocess bör som minimum innehålla:

• en tydlig avgränsning av scope

• gemensamma riskkriterier för sannolikhet och konsekvens

• en fast metod för bedömning och prioritering

• ett tydligt förhållningssätt till hantering och uppföljning

Det avgörande är inte vilken modell som används, utan att den tillämpas konsekvent inom hela organisationen.

Riskhantering behöver också vara en integrerad del av den löpande verksamheten. Det kräver tydliga triggers för när en riskbedömning ska uppdateras – till exempel vid:

• nya system eller leverantörer

• förändringar i befintligt upplägg

• nya hot eller sårbarheter

Därutöver kräver det engagemang från flera delar av organisationen. Riskhantering är inte en enskild persons ansvar – det är en gemensam disciplin.

NIS2 har bara börjat

För många organisationer kommer 2026 att kännas som en milstolpe. Kraven är implementerade, processerna är etablerade och dokumentationen är på plats. Men NIS2 är ingen statisk övning.

Hotbilden förändras löpande, beroenden blir alltmer komplexa och kraven på dokumentation och governance kommer att utvecklas i takt med myndigheternas tillsyn.

Det innebär att organisationer behöver röra sig från ett projektfokus till en kontinuerlig disciplin där:

• riskhantering uppdateras löpande och används aktivt

• leverantörsstyrning justeras i takt med förändrade beroenden

• prioriteringar omprövas när nya hot och verksamhetsförändringar uppstår

De organisationer som lyckas är inte nödvändigtvis de som implementerar flest kontroller, utan de som förmår att anpassa sig och fatta rätt beslut över tid.