En kompletterande artikel till seminariet NIS2 Compliance Accelerator
Edument, Helsingborg | 28 maj 2026
Om din organisation har investerat i en ISO 27001-certifiering, eller byggt upp ett ledningssystem för informationssäkerhet enligt en etablerad standard, ställer ni sannolikt en version av samma fråga just nu: räcker det vi redan har byggt för att uppfylla NIS2 - eller behöver vi börja om från början?
Det ärliga svaret är: inget av det - och att förstå varför är förmodligen det mest praktiskt värdefulla den här artikeln kan ge er inför den 28 maj.
Ert befintliga ISMS är inte bortkastat. Den riskhanteringsdisciplin, dokumentationskultur, ledningsförankring och revisionsberedskap som ett moget ISMS skapar är verkliga tillgångar under NIS2. Det är en grund som många organisationer utan ett etablerat säkerhetsarbete just nu försöker bygga från grunden. Har ni redan den grunden ligger ni före en betydande del av de verksamheter som nyligen omfattas av direktivet och försöker nå compliance innan tillsyn och efterlevnad börjar tillämpas fullt ut.
Men grunden är inte byggnaden. NIS2 trädde i kraft i Sverige den 15 januari 2026. Direktivet höjde ribban, ökade tempot och gjorde konsekvenserna personliga på ett sätt som standarden i sig aldrig var utformad för att kräva. Gapet mellan där ett välimplementerat ISMS tar er och där NIS2 kräver att ni ska vara är konkret, möjligt att täppa till och viktigt att förstå i detalj - för organisationer som arbetar systematiskt med att stänga det kommer att stå betydligt starkare än de som antar att en befintlig certifiering räcker.
Låt oss börja med det som faktiskt går att återanvända - för det är omfattande och viktigt.
En mogen ISO 27001-implementation ger er en metodik för riskbedömning. Ni har en dokumenterad process för att identifiera tillgångar, bedöma hot och sårbarheter, analysera sannolikhet och konsekvens samt välja kontroller proportionerliga mot risken. Artikel 21 i NIS2 kräver ett riskbaserat cybersäkerhetsarbete. Den metodik ni redan byggt är i grunden samma typ av arbetssätt som direktivet efterfrågar. Ni behöver inte uppfinna ett nytt sätt att arbeta med risk - ni behöver säkerställa att det ni redan gör täcker den omfattning och de scenarier som dagens hotbild enligt NIS2 kräver.
Ni har också en dokumentationskultur. NIS2:s krav kring incidentrapportering, leverantörssäkerhet och tillsyn bygger på att organisationer snabbt och tydligt kan visa vad de gjort, när de gjorde det och varför. Organisationer som redan arbetar med Statement of Applicability, riskregister, kontrollbeskrivningar och revisionsspår enligt ISO 27001 har redan byggt den dokumentationsinfrastruktur som krävs för att kunna påvisa efterlevnad under NIS2.
Ni har ledningsförankring - åtminstone på papperet. ISO 27001 kräver ledningens involvering. Klausul 5 i standarden placerar uttryckligen ansvar för ISMS hos organisationens ledning: policys ska godkännas av ledningen, mål ska fastställas på ledningsnivå och ledningsgenomgångar ska ske regelbundet. Det är samma typ av styrning som NIS2 kräver - och om den faktiskt fungerar operativt i organisationen, snarare än bara som en compliance-formalitet, ger den er ett försprång i de ansvarskrav direktivet ställer.
Ni har dessutom revisionsberedskap. De organisationer som kommer få störst utmaningar i relationen till tillsynsmyndigheter - exempelvis Länsstyrelsen eller Post- och telestyrelsen, som nu har befogenhet att genomföra säkerhetsskanningar, revisioner och granskningar - är de som aldrig tidigare genomgått en strukturerad extern säkerhetsrevision. ISO 27001-certifierade organisationer har redan erfarenhet av detta. Revisionskulturen, disciplinen kring evidens och erfarenheten av externa granskare är direkt användbar under NIS2.
Det är en stark grund. Men det finns fortfarande luckor.
ISO 27001 kräver en incidenthanteringsprocess. Annex A-kontroll 5.26 kräver definierade processer för hantering av informationssäkerhetsincidenter. De flesta ISMS-implementationer innehåller därför en incidenthanteringsplan - en dokumenterad process för att upptäcka, klassificera, begränsa och återställa efter incidenter, som regelbundet granskas och testas.
NIS2 kräver däremot något som de flesta incidentplaner aldrig designades för: en formell myndighetsrapportering inom 24 timmar från att organisationen blivit medveten om en betydande incident.
Tjugofyra timmar är inte en planeringshorisont. Det är ett operativt tempo.
En incidenthanteringsplan som uppfyller en ISO 27001-revision - för att den finns dokumenterad, granskas och har testats i en tabletop-övning - kanske ändå inte klarar av att leverera en sammanhängande tidig varning till CERT-SE en lördagskväll när intrånget upptäcktes kl. 23:00 på fredagen.
Gapet handlar inte om att planen existerar. Det handlar om planens operativa hastighet, tydligheten i eskaleringsvägarna till personer med mandat att rapportera samt relationen till tillsynsmyndigheten innan en incident inträffar.
Den praktiska frågan organisationer behöver kunna svara på innan tillsynen intensifieras är därför inte om ni har en incidenthanteringsplan utan om den faktiskt har testats mot ett realistiskt värstafallsscenario: sen fredag kväll, nyckelpersoner otillgängliga och incidentens omfattning fortfarande oklar - och ändå leder till en myndighetsrapportering inom 24 timmar.
ISO 27001 rekommenderar ledningens involvering. NIS2 kräver personligt ansvar med konsekvenser som går bortom organisationen och direkt påverkar individen.
Enligt den svenska cybersäkerhetslagen kan personer i ledande befattningar hållas personligt ansvariga och drabbas av ekonomiska sanktioner vid bristande efterlevnad. Vid allvarliga eller återkommande brister kan tillsynsmyndigheter dessutom besluta om tillfälliga förbud mot att inneha lednings- eller styrelseuppdrag. Bolagsverket informeras då och ansvarar för att avregistrera personen samt förhindra nyregistrering under förbudsperioden.
Det här är inte längre böter som organisationen absorberar som en affärskostnad. Det är konsekvenser som följer individen.
En VD som behandlat NIS2 som ett IT-ansvar snarare än ett ledningsansvar är personligt exponerad på ett sätt som ISO 27001:s styrningskrav - hur viktiga de än är - aldrig designades för.
Den praktiska konsekvensen är att de ledningsgenomgångar som ISO 27001 kräver måste bli mer operativt konkreta under NIS2. Ledningen behöver förstå inte bara att ett ISMS existerar och underhålls - utan vilka specifika NIS2-krav organisationen omfattas av, vilken tillsynsmyndighet som ansvarar för verksamheten, vilka tidskrav rapportering innebär och vad bristande efterlevnad faktiskt betyder för dem personligen.
Det är inte en engångspresentation. Det är ett löpande styrningskrav.
ISO 27001 Annex A-kontroll 5.19 kräver informationssäkerhet i leverantörsrelationer. De flesta ISMS-implementationer hanterar detta genom leverantörsformulär, säkerhetsutvärderingar och avtalskrav på lämpliga säkerhetsnivåer.
Det är rätt angreppssätt. Men i dagens hotlandskap är det inte tillräckligt för NIS2:s krav på leverantörssäkerhet.
Artikel 21 i NIS2 kräver att organisationer bedömer cybersäkerhetsnivån hos sina direkta leverantörer och tjänsteleverantörer - och att specifika säkerhetskrav integreras i tredjepartsavtal.
Skillnaden mellan ett leverantörsformulär och en verklig bedömning av leverantörskedjans säkerhet är skillnaden mellan att fråga om leverantören har en säkerhetspolicy - och att förstå om deras åtkomst till era system, vid en kompromettering, kan nå de operativa miljöer som styr era fysiska processer.
De hotaktörer som riktar in sig på NIS2-reglerade organisationer under 2026 attackerar inte huvudentrén. De attackerar underhållsleverantören vars behörigheter ger legitim åtkomst till serverrummet. IT-partnern vars fjärråtkomstverktyg ansluter till produktionsnätverket. Programvaruleverantören vars uppdateringsmekanism körs med förhöjda rättigheter på de mest kritiska systemen.
Er bedömning av leverantörskedjan måste modellera just dessa angreppsvägar - inte bara verifiera att leverantören också har ett ISO 27001-certifikat.
Här är den ärliga sammanfattningen av alla tre luckor: NIS2 ersätter inte ert ISMS. Direktivet bekräftar värdet av den investering ni redan gjort - och kräver sedan att samma systematiska disciplin tillämpas med ett högre tempo, större omfattning och en nivå av personligt ansvar som standarden ensam aldrig krävt.
De organisationer som kommer navigera NIS2 mest effektivt är inte de som börjar från noll. Det är de som tar den riskhanteringsdisciplin deras ISMS redan bygger på och medvetet utvecklar den inom de tre områdena ovan - incidenthanteringens operativa tempo, ledningens personliga ansvar och djupet i arbetet med leverantörssäkerhet.
Ert ISMS gav er grunden. Frågan inför den 28 maj är vad ni bygger ovanpå den.
NIS2 Compliance Accelerator-seminariet äger rum den 28 maj 2026 kl. 11:30 – 13:30 hos Edument på Drottninggatan 20 i Helsingborg. Seminariet erbjuds både på plats och via livestream. Samuel Adewole, grundare av Digital Security Insights och Director of DSI Advisory Services, kommer att gå igenom dessa gap och presentera praktiska ramverk för hur organisationer kan arbeta med dem.
