norppa.io
Guider

NIS2-guide · 10 min

Så uppfyller du NIS2: en steg-för-steg-färdplan

NIS2 är ingen checklista du fyller i en gång. Det är en löpande skyldighet som backas upp av ledningens ansvar och myndigheternas tillsyn. Men vägen till efterlevnad är tydligt utstakad. Den här guiden lägger ut stegen i ordning: avgör om du omfattas, registrera dig hos din myndighet, gör ledningen formellt ansvarig, inför riskhanteringsåtgärderna, säkra din leveranskedja, bygg upp incidentrapportering och håll allt styrkt över tid. Varje steg länkar till en djupare guide där du behöver en.

Viktigaste punkterna

  • NIS2 (direktiv (EU) 2022/2555) skulle vara omsatt i nationell rätt senast den 17 oktober 2024; skyldigheterna gäller via varje medlemsstats omsättningslag.
  • Efterlevnad följer en tydlig sekvens: omfattning → registrering → styrning → artikel 21-åtgärder → leveranskedja → incidentrapportering → löpande säkring.
  • Den är löpande, inte en engångssak. Ledningen är ansvarig (art. 20) och tillsynsmyndigheter kan granska, beordra åtgärder och utfärda sanktioner (art. 34).

Vad ”NIS2-efterlevnad” faktiskt innebär

NIS2 är ett EU-direktiv och gäller därför via den nationella lag som varje medlemsstat antagit för att omsätta det (omsättningsfristen var den 17 oktober 2024; vissa stater var sena). Det sätter en grund av riskhanteringsåtgärder för cybersäkerhet (art. 21), incidentrapportering (art. 23), styrning och ansvar (art. 20) samt registrering hos en behörig myndighet, upprätthållet genom granskningar och sanktioner (art. 34).

Avgörande: det är ett ledningssystem, inte ett certifikat. Man ”klarar” inte NIS2 en gång; åtgärderna drivs, styrks och förbättras löpande, och din ledning är personligen ansvarig för det. Stegen nedan tar dig till en försvarbar grund och håller dig där.

Vem måste efterleva

Väsentliga och viktiga entiteter: medelstora och stora organisationer i sektorerna i bilaga I/II (energi, transport, hälsa, vatten, digital infrastruktur, offentlig förvaltning, tillverkning med flera). Bekräfta din nivå med guiden ”Vem omfattas av NIS2”.

Indirekt indragen

Även utan utpekning når leveranskedjeplikten dig: entiteter som omfattas måste bedöma sina leverantörer (art. 21.2 d), så du möter frågeformulär, bevisbegäranden och löpande övervakning via dina avtal.

Färdplanen, steg för steg

Sju steg i ordning. Varje bygger på det föregående.

Steg 1

Bekräfta omfattning och nivå. Avgör om du är en väsentlig eller viktig entitet utifrån sektorerna i bilaga I/II och storlekströsklarna, och kartlägg var dina egna leverantörer hamnar.

Steg 2

Registrera dig hos din behöriga myndighet. De flesta medlemsstater kräver att entiteter som omfattas registrerar sig (namn, sektor, kontakter, IP-intervall) enligt sin omsättningslag.

Steg 3

Gör ledningen ansvarig. Ledningsorganet måste godkänna riskhanteringsåtgärderna, utöva tillsyn över dem och utbildas (art. 20), och kan hållas ansvarigt.

Steg 4

Inför åtgärderna i art. 21.2: de tio grundåtgärderna, tillämpade proportionerligt mot din risk (se listan nedan).

Steg 5

Säkra din leveranskedja. Bedöm och övervaka leverantörers cyberrisk (art. 21.2 d) med nivåindelning, frågeformulär och löpande bevis, inte en engångsgranskning.

Steg 6

Bygg upp incidentrapportering. Kunna skicka 24-timmars tidig varning, 72-timmars anmälan och slutrapport inom en månad till ditt CSIRT (art. 23).

Steg 7

Gör det löpande och styrkt. Övervaka, testa, dokumentera och granska så att du på begäran kan visa att åtgärderna fungerar.

Åtgärderna i artikel 21.2

Steg 4 i detalj. NIS2 kräver, proportionerligt, minst:

  • (a) Riskanalys och säkerhetspolicyer för informationssystem.
  • (b) Incidenthantering: upptäckt, respons och återställning.
  • (c) Kontinuitet i verksamheten: säkerhetskopior, katastrofåterställning och krishantering.
  • (d) Leveranskedjesäkerhet, inklusive säkerheten i relationerna med direkta leverantörer och tjänsteleverantörer.
  • (e) Säkerhet vid anskaffning, utveckling och underhåll, inklusive hantering och röjande av sårbarheter.
  • (f) Policyer och rutiner för att bedöma åtgärdernas effektivitet.
  • (g) Grundläggande cyberhygien och säkerhetsutbildning.
  • (h) Kryptografi och, där så är lämpligt, kryptering.
  • (i) Personalsäkerhet, policyer för åtkomstkontroll och tillgångshantering.
  • (j) Multifaktorautentisering, säkrad röst-/video-/textkommunikation och säkrad nödkommunikation.

Varför det aldrig riktigt ”tar slut”

Åtgärderna är inte ett projekt med en mållinje. NIS2 förväntar sig att du bedömer deras effektivitet (art. 21.2 f), och tillsynsmyndigheter kan utföra granskningar, begära bevis, utfärda bindande instruktioner och påföra sanktioner (art. 34): för väsentliga entiteter upp till 10 miljoner euro eller 2 % av den globala årsomsättningen, beroende på vilket som är högst. Ledningen kan också hållas personligen ansvarig.

Därför är det sista steget viktigast: gapet mellan ”vi skrev en policy” och ”vi kan visa att den fungerar i dag” är precis vad en granskare, eller en kunds due diligence, ber dig att täppa till. Löpande övervakning och bevarade bevis förvandlar en engångsinsats till en försvarbar, upprepningsbar position.

NIS2 gäller via nationell rätt, och detaljerna (registreringsmekanik, frister, sektorsspecifika krav, sanktionsnivåer) varierar mellan medlemsstater. Bekräfta detaljerna med din nationella behöriga myndighet.

Var börjar du?

Ditt första steg beror på din situation:

Du omfattas tydligt (väsentlig eller viktig)

Börja vid steg 1 för att bekräfta din nivå, registrera dig sedan och informera ledningen. Använd guiden om ledningens ansvar för att engagera styrelsen tidigt.

Du är osäker på om du omfattas

Börja med guiden ”Vem omfattas av NIS2”, sektorer och storlekströsklar, innan du investerar i kontroller. Anta inte att du är undantagen; leveranskedjan kan ändå nå dig.

Du är leverantör till entiteter som omfattas

Även utan egen utpekning kan du vänta dig leverantörsformulär och övervakning. Guiderna om frågeformulär och checklista visar vad du ombeds styrka.

Du har redan ISO 27001

Mycket av steg 4 förs över, men inte lagstadgad incidentrapportering, registrering eller ledningens ansvar. ISO 27001-guiden kartlägger vad som återstår.

Källor: Direktiv (EU) 2022/2555 (NIS2) och din nationella omsättningslag. NIS2 gäller via nationell rätt; bekräfta registreringsmekanik, frister och sanktionsnivåer med din behöriga myndighet.

Hur norppa.io hjälper

norppa.io är byggt för steg 5 och 7, leveranskedje- och löpande bevis-delarna som de flesta team tycker är svårast. Det övervakar varje leverantörsdomän över fler än hundra kontrollpunkter dagligen (de tidskänsliga var sjätte timme), mappar varje fynd till den NIS2-artikel det rör och håller ett daterat, exporterbart register för din leverantörsakt.

Självbedömningsformulär fångar process- och avtalskontroller, och varje svar ställs bredvid den tekniska profilen i realtid: så att du, när en granskare eller kund ber dig visa att leveranskedjesäkerheten faktiskt fungerar, har aktuella, bekräftade bevis i stället för ett kalkylblad från i våras.

Löpande bevis för steg 5 och 7

Se en exempelrapport för en leverantör (fynd, NIS2-artikelmappning och bevis) på ungefär två minuter.

Visa exempelrapport
Se exempel-dashboarden

Relaterade guider

Vem omfattas av NIS2? Väsentliga och viktiga aktörer, sektorer och storlekströsklar

Avgör om NIS2 gäller dig: de två nivåerna, sektorerna i bilaga I/II, storlekströsklarna, storleksoberoende undantag och hur leveranskedjan drar in dig även utan utpekning.

NIS2 och leveranskedjekravet: vad det innebär i praktiken

NIS2 kräver att viktiga och betydande aktörer bedömer cyberriskerna i sina leveranskedjor. Leverantörstierning, fjärdepartsrisk, Art. 23-anmälan och vad revisorer letar efter.

Leverantörens cyberriskbedömning: vad automatiserad NIS2-övervakning kontrollerar

Alla kontrollkategorier förklaras: ransomware, dark web-läckor, TLS/DNSSEC, cookie-säkerhet, CVE/EPSS, sanktioner, MX-svartlistor och SAQ. Fyndens livscykel och NIS2-artikelmappning.

NIS2 Art. 21(2): säkerhetschecklista för leverantörer

Checklista för inköps- och säkerhetsteam: vad man ska fråga, vilka bevis man ska samla in och hur man reagerar när en leverantör brister. Inkluderar förslag på styrkande dokument.

NIS2-leverantörsenkät (SAQ): vad du ska fråga, hur du poängsätter och en gratis mall

Vad du ska fråga leverantörer enligt art. 21.2 d, hur du poängsätter svar och hanterar brister, varför självdeklaration behöver verifieras, plus en gratis enkätmall.

NIS2-incidentrapportering: 24- och 72-timmarsfristerna förklarade

Vad som är en betydande incident, tidslinjen i artikel 23 (24-timmars tidig varning, 72-timmars anmälan, slutrapport på en månad) och när en leverantörs incident blir din skyldighet.

NIS2 och ledningens ansvar: vad styrelse och ledning måste veta

Vad NIS2 förväntar sig av ledningsorganet: godkännande- och tillsynsplikt, personligt ansvar (art. 20), utbildning, styrelse-KPI:er och sanktionerna enligt art. 34.

ISO 27001 och NIS2: vad ditt LIS redan täcker, och luckorna det inte gör

Om du har ISO 27001: vad som förs över till NIS2 och inte (lagstadgad incidentrapportering, ledningens ansvar, registrering och kontinuerlig leveranskedjesäkring) och hur du täpper till luckan.

NIS2 vs DORA: hur de skiljer sig, var de överlappar och vilken som gäller dig

Hur de två EU-regelverken skiljer sig och överlappar, varför DORA är lex specialis för finansiella enheter, vilken som gäller dig, och vad båda innebär för tredjepartsrisk.

GDPR vs NIS2: överlapp, skillnader och när en incident utlöser båda

Hur GDPR och NIS2 skiljer sig och överlappar, när en incident utlöser båda (GDPR art. 33 72 h till tillsynsmyndigheten vs NIS2 art. 23 24 h/72 h/en månad till CSIRT), art. 35-samarbetet och förbudet mot dubbel sanktion, och vad båda innebär för leverantörsgranskning.

EU:s cyberresiliensförordning (CRA): omfattning, tidslinje och vad den betyder för din leveranskedja

Vad CRA kräver, dess stegvisa datum (i kraft 2024, rapportering sep 2026, full efterlevnad dec 2027), vem som omfattas och varför ren SaaS ofta inte gör det, hur den kompletterar NIS2 och vad den betyder för upphandling och leverantörsgranskning.

EU:s AI-förordning: risknivåer, tidslinjen och vad tillhandahållare av AI i drift måste göra (artikel 26)

Vad EU:s AI-förordning kräver: risknivåerna, de stegvisa datumen (i kraft 2024, förbjudet feb 2025, GPAI aug 2025, hög risk aug 2026), skyldigheterna i drift enligt art. 26, hur den staplas med NIS2 och GDPR, och vad den betyder för AI-upphandling.