norppa.io
Guider

NIS2-guide · 7 min

ISO 27001 och NIS2: vad ditt LIS redan täcker — och luckorna det inte gör

Om du redan har ISO/IEC 27001 börjar du inte NIS2 från noll — långt därifrån. Ett fungerande LIS täcker det mesta av artikel 21-grunden. Men certifiering är inte efterlevnad: NIS2 lägger till lagstadgade skyldigheter som ett LIS inte ensamt uppfyller. Den här guiden kartlägger vad som förs över, var de verkliga luckorna finns och hur du täpper till dem utan att bygga om det du redan har.

Viktiga punkter

  • ISO 27001 täcker de flesta av NIS2:s art. 21-åtgärder — riskhantering, åtkomstkontroll, kryptografi, kontinuitet, leverantörskontroller — så det är ett starkt försprång.
  • Men certifiering är inte efterlevnad: NIS2 lägger till lagstadgade rapporteringsfrister, ledningens ansvar, registrering och kontinuerlig leveranskedjesäkring.
  • De största luckorna är vanligtvis 24/72-timmars rapporteringsplikt och kontinuerlig tredjepartsövervakning, inte kärnkontrollerna.
  • Täpp till luckorna ovanpå LIS — bygg inte om; kartlägg dina bilaga A-kontroller mot art. 21-listan och lägg till det som saknas.

Vad ditt LIS redan täcker

NIS2:s artikel 21-grund och ISO/IEC 27001 (med dess bilaga A-kontroller) överlappar i hög grad. Om ditt LIS verkligen är i drift — inte bara certifierat — finns mycket av direktivets tekniska och organisatoriska substans redan på plats:

  • Riskhantering — processen för riskbedömning och riskbehandling i ditt LIS kartläggs direkt mot art. 21(2)(a).
  • Åtkomstkontroll och kryptografi — bilaga A-kontrollerna för åtkomst och kryptografi motsvarar art. 21(2)(i) och (h).
  • Incidenthantering — din incidentprocess täcker hanteringssidan av art. 21(2)(b) (på rapporteringssidan lägger NIS2 till mer).
  • Verksamhetskontinuitet — kontroller för säkerhetskopiering, återställning och kontinuitet kartläggs mot art. 21(2)(c).
  • Leverantörsrelationer — bilaga A-leverantörskontrollerna är grunden som art. 21(2)(d) bygger på.

Där NIS2 går längre än ditt LIS

Certifiering visar att ett hanterat system finns för ett definierat tillämpningsområde. NIS2 är en rättslig skyldighet för hela den berörda aktören och lägger till skyldigheter som ett ISO-certifikat inte ensamt fullgör:

Lagstadgad incidentrapportering — ISO 27001 kräver att du hanterar incidenter; NIS2 kräver att du rapporterar betydande till en nationell myndighet enligt en 24-timmars/72-timmars/enmånadsklocka (art. 23). Ingen LIS-frist motsvarar detta.

Ledningens ansvar och utbildning — NIS2 ålägger ledningsorganet att godkänna och övervaka åtgärderna, gå utbildning och vara personligt ansvarigt (art. 20). ISO ber om ledningens engagemang, inte rättsligt ansvar.

Kontinuerlig leveranskedjesäkring — bilaga A-leverantörskontrollerna är till stor del punktvisa. NIS2:s art. 21(2)(d), läst med kravet på "lämpliga åtgärder", driver mot löpande övervakning av leverantörsrisk.

Registrering och omfattning — många aktörer måste registrera sig hos sin nationella myndighet, och NIS2 gäller hela den berörda organisationen oavsett ditt valda LIS-tillämpningsområde.

Tillsynens verklighet — en ISO-avvikelse är mellan dig och din certifierare; ett NIS2-brott kan innebära bindande förelägganden och böter upp till 10 milj. € eller 2 % av omsättningen (art. 34).

Täppa till luckan utan att bygga om

Den effektiva vägen behandlar NIS2 som ett tillägg ovanpå ett fungerande LIS, inte ett parallellt program:

  • Kartlägg dina bilaga A-kontroller mot listan art. 21(2)(a)–(j) — de flesta rutorna är redan ifyllda.
  • Sätt upp rapporteringsflödet: vem avgör "betydande", vem kontaktar CSIRT, och 24/72-timmars-spelboken.
  • Lyft NIS2-styrningen till styrelsen: godkännande av åtgärder, tillsynsrapportering och ledningsutbildning (art. 20).
  • Uppgradera leverantörssäkringen från en årlig enkät till kontinuerlig övervakning av kritiska leverantörer.
  • Bekräfta registrering hos din nationella myndighet och att ditt LIS-tillämpningsområde täcker de berörda tjänsterna.

Källa: Direktiv (EU) 2022/2555 (NIS2), artiklarna 20, 21 och 23 — ISO/IEC 27001-kartläggningen är vägledande; bekräfta de bindande kraven i din nationella genomförandelag.

Hur norppa.io hjälper

De två luckor som ett LIS lämnar vidast öppna är just de som norppa.io är byggt för: kontinuerlig leverantörssäkring och rapporteringsfärdig evidens. Varje övervakad leverantör kontrolleras dagligen över 100+ kontrollpunkter, med fynd kopplade till samma art. 21-underklausuler som ditt LIS redan talar — så leveranskedjekontrollen blir kontinuerlig, inte årlig.

Och eftersom allt är tidsstämplat och exporterbart ligger den evidens som stöder en art. 23-anmälan eller en tillsyn vid sidan av din LIS-dokumentation snarare än i en separat silo. norppa.io kompletterar ISO 27001; det duplicerar det inte.

Täpp till leveranskedjeluckan som ditt LIS lämnar

Se kontinuerlig, NIS2-kopplad leverantörsövervakning i exempelrapporten — två minuter.

Se exempelrapport

Relaterade guider

NIS2 och leveranskedjekravet — vad det innebär i praktiken

NIS2 kräver att viktiga och betydande aktörer bedömer cyberriskerna i sina leveranskedjor. Leverantörstierning, fjärdepartsrisk, Art. 23-anmälan och vad revisorer letar efter.

NIS2 Art. 21(2) — säkerhetschecklista för leverantörer

Checklista för inköps- och säkerhetsteam: vad man ska fråga, vilka bevis man ska samla in och hur man reagerar när en leverantör brister. Inkluderar förslag på styrkande dokument.

Leverantörens cyberriskbedömning: vad automatiserad NIS2-övervakning kontrollerar

Alla kontrollkategorier förklaras: ransomware, dark web-läckor, TLS/DNSSEC, cookie-säkerhet, CVE/EPSS, sanktioner, MX-svartlistor och SAQ. Fyndens livscykel och NIS2-artikelmappning.

Vem omfattas av NIS2? Väsentliga och viktiga aktörer, sektorer och storlekströsklar

Avgör om NIS2 gäller dig: de två nivåerna, sektorerna i bilaga I/II, storlekströsklarna, storleksoberoende undantag och hur leveranskedjan drar in dig även utan utpekning.

NIS2-leverantörsenkät (SAQ): vad du ska fråga, hur du poängsätter och en gratis mall

Vad du ska fråga leverantörer enligt art. 21.2 d, hur du poängsätter svar och hanterar brister, varför självdeklaration behöver verifieras, plus en gratis enkätmall.

NIS2 vs DORA: hur de skiljer sig, var de överlappar och vilken som gäller dig

Hur de två EU-regelverken skiljer sig och överlappar, varför DORA är lex specialis för finansiella enheter, vilken som gäller dig, och vad båda innebär för tredjepartsrisk.

NIS2 och ledningens ansvar: vad styrelse och ledning måste veta

Vad NIS2 förväntar sig av ledningsorganet: godkännande- och tillsynsplikt, personligt ansvar (art. 20), utbildning, styrelse-KPI:er och sanktionerna enligt art. 34.

NIS2-incidentrapportering: 24- och 72-timmarsfristerna förklarade

Vad som är en betydande incident, tidslinjen i artikel 23 (24-timmars tidig varning, 72-timmars anmälan, slutrapport på en månad) och när en leverantörs incident blir din skyldighet.