NIS2-direktivet är inte en framtida fråga – det är ett aktuellt ansvar på styrelsenivå. I Sverige och övriga Norden går tillsynsmyndigheter från vägledning till tillsyn, och kraven på ansvar, motståndskraft och rapportering skärps snabbt.
I grunden etablerar NIS2 tre icke-förhandlingsbara områden:
Direktivet omfattar brett kritiska och viktiga sektorer, inklusive deras leverantörskedjor. För många nordiska organisationer är utmaningen inte medvetenhet – utan genomförande.
Nedan följer de sju vanligaste gapen som observeras i Sverige och Norden, samt konkreta sätt att åtgärda dem.
Cybersäkerhet behandlas ofta som en IT-fråga snarare än en strategisk risk. Detta står i direkt konflikt med NIS2, som placerar ansvaret på styrelsenivå.
Vad bör göras:
Inrätta en cybersäkerhetskommitté med representation från styrelsen. Inför kvartalsvisa riskrapporter som översätter tekniska risker till finansiell och operativ påverkan. Om ledningen inte kan kvantifiera risk, kan den inte styra den.
Nordiska organisationer har ofta starka interna kontroller, men begränsad insyn i leverantörer. NIS2 utvidgar ansvaret till hela leverantörskedjan.
Vad bör göras:
Standardisera säkerhetsbilagor i alla leverantörsavtal. Gå från statiska bedömningar till kontinuerlig övervakning med TPRM-plattformar (Third-Party Risk Management). Årliga enkäter räcker inte längre.
Många organisationer saknar en samlad, realtidsbaserad överblick över sina digitala tillgångar – särskilt i hybrid- och molnmiljöer. Detta försvårar tillförlitliga riskbedömningar.
Vad bör göras:
Inför CAASM (Cyber Asset Attack Surface Management) för att automatiskt upptäcka och klassificera tillgångar. Ersätt manuella inventeringar med kontinuerligt uppdaterad översikt.
Kravet på rapportering inom 24 timmar innebär en stor operativ förändring. De flesta organisationer är inte rustade att upptäcka, bedöma och eskalera incidenter inom den tidsramen.
Vad bör göras:
Utveckla en 24-timmars incidentprocess med förgodkända mallar för rapportering. Utse en ansvarig dokumentatör vid incidenter för att säkerställa att tidskrav och regulatoriska krav uppfylls.
Backuper räcker inte för att uppfylla NIS2-krav. Myndigheter fokuserar allt mer på om verksamheten kan upprätthållas under störningar.
Vad bör göras:
Inför immutable lagring för skydd mot ransomware. Genomför halvårsvisa övningar (tabletop exercises) med både IT och ledning. Planer som inte testas kommer att fallera under press.
Grundläggande säkerhetsåtgärder som MFA, zero trust-principer och utbildning är ojämnt implementerade. Dokumentation och bevis på genomförd utbildning är också bristfälliga.
Vad bör göras:
Inför villkorsstyrd åtkomst med obligatorisk MFA för alla användare. Använd ett LMS (Learning Management System) för att leverera utbildning och säkerställa spårbar dokumentation. Myndigheter kräver i allt högre grad bevis – inte intention.
Det råder strukturell brist på cybersäkerhetskompetens i Norden, särskilt inom offentlig sektor och medelstora organisationer. Att tolka och implementera NIS2 internt är ofta orealistiskt.
Vad bör göras:
Använd MDR-tjänster (Managed Detection and Response) för kontinuerlig övervakning. Vid begränsade resurser bör organisationer överväga delade tjänster eller regionalt samarbete för att samla kompetens och minska kostnader.
NIS2 är inte en checklista för regelefterlevnad – det är en förändring i hur organisationer styrs och hålls ansvariga för cyberrisk.
I Sverige och Norden är det inte de organisationer med flest verktyg som lyckas bäst, utan de som lyckas förena ledarskap, operativ disciplin och regulatorisk förståelse.
Frågan är inte längre om ni är exponerade – utan hur snabbt ni kan stänga gapen innan tillsynen kommer ikapp.
