NIS2 är inte längre en regulatorisk horisont. För viktiga och samhällskritiska verksamheter i Norden har övergången från compliance-teori till operativ verklighet redan börjat.
De flesta organisationer har mobiliserat. Styrningsramverk tas fram, och styrgrupper kopplar nu samman IT, risk, juridik och verksamhet. Men aktivitet är inte samma sak som faktisk beredskap.
Trots framdriften kvarstår en svår fråga:
Hur redo är vi egentligen i praktiken?
I arbetet med organisationer som navigerar NIS2-kraven ser vi ofta att “compliance-gapet” döljer sig i glappet mellan policys och teknisk verklighet.
För att förstå din mognadsnivå, ställ följande frågor:
Om ett intrång sker klockan 02:00 en lördagsnatt – är er telemetri tillräckligt mogen för att upptäcka och rapportera det inom 24 timmar enligt kravet?
Täcker er riskanalys mer än IT-hot? Inkluderar den fysisk säkerhet, mänskliga fel och leverantörskedjor – och är den levande eller bara ett statiskt dokument?
Kan ni bevisa att era återställningsplaner faktiskt fungerar? Om era primära system raderas i morgon – kan ni återställa inom era definierade RTO-krav?
Är era operativa system (produktion, medicinteknik, fastighetssystem) integrerade i säkerhetsövervakningen – eller isolerade “säkerhetsöar”?
Kan styrelsen redogöra för sitt personliga ansvar enligt artikel 20, och har de godkänt de faktiska riskåtgärder som krävs?
Vi ser ett återkommande mönster i marknaden: organisationer är upptagna, men fragmenterade. Detta skapar en farlig illusion av framsteg.
Policyer finns på papper, men tekniska kontroller saknas för att faktiskt verkställa och övervaka dem i realtid.
Backup finns – men katastrofåterställning har aldrig testats i ett verkligt totalavbrottsscenario.
IT-säkerheten utvecklas, men risker i tredjepartsleverantörer förblir ofta outredda och oövervakade.
Resultatet?
Du är kanske inte fullt compliant – du är bara i en fas av aktiv förbättring. I en tillsynssituation kan den skillnaden bli kostsam.
Fokus skiftar nu från exekvering till validering.
Organisationer rör sig mot strukturerade NIS2-gap-analyser – inte som en checklista, utan som en strategisk granskning av faktisk operativ verklighet.
En teknisk gap-analys svarar på tre centrala frågor:
Var står vi faktiskt i relation till ENISA:s tekniska krav och de 10 centrala åtgärderna?
Vilka tekniska och juridiska brister hindrar oss från att vara revisionsredo?
Vilka åtgärder ger störst riskreduktion med minst operativ påverkan?
Målet är att gå från osäkerheten i “vi jobbar på det” till tryggheten i:
“Vi vet exakt var vi står – och vad vi måste åtgärda härnäst.”
I takt med att NIS2 går in i en mer aktiv tillsynsfas blir den viktigaste frågan inte om arbetet har påbörjats – utan om era riskanalyser och återställningsplaner faktiskt håller när det verkligen gäller.
Om ni idag utvärderar er NIS2-beredskap, eller behöver en objektiv bild av era faktiska gap, kan extern analys vara avgörande.
Oavsett om det gäller en teknisk gap-analys, granskning av disaster recovery eller stöd kring ledningsansvar, kan en strukturerad genomlysning ge tydlighet i nästa steg.
Vill du veta mer?
Ta kontakt här för ett kort avstämningsmöte så kartlägger vi var ni står - och vad som krävs för att ta er till operativ beredskap.
