NIS2 – från direktiv till handling

brown-building-with-big-windows
Skriven av
Clara Westman
Lästid
3 min

Den 15 januari 2026 blir NIS2 verklighet. Följden är inte bara nya krav, utan även en möjlighet att stärka informationssäkerheten, skapa ökad samsyn och stå bättre rustade för framtiden. Här delar Stratsys GRC-expert Christopher Läns med sig av konkreta steg för att rusta din organisation.


För många organisationer är det nu hög tid att gå från teori till praktik. Med NIS2 behöver nämligen många offentliga och privata organisationer kunna visa upp ett strukturerat och systematiskt arbete med informationssäkerhet. Även aktörer som inte omfattas direkt kommer att påverkas genom kund- och leverantörskrav.

Involvera hela organisationen

Christopher Läns är GRC-expert på Stratsys och har djup erfarenhet av riskhantering, informationssäkerhet och regelefterlevnad. Han vet hur viktigt det är att involvera hela organisationen i arbetet:

- Informationssäkerhet är inte en ren IT-fråga. Informationssäkerhet är en ledningsfråga som berör hela organisationen, från juridik och HR till IT. Att se helhetsperspektivet är ofta den största utmaningen, men det är nödvändigt för att möta den nya lagstiftningen, säger Christopher.

Christopher Lans
Christopher Läns, GRC-Expert på Stratsys

Fallgropar – när teori möter praktik

Många organisationer brottas med att informationssäkerhetsarbetet blir fragmenterat eller sporadiskt. Det är något som är alltför vanligt, enligt Christopher:

  • Avsaknad av samverkan. En bra informationssäkerhetsansvarig kompletterar sina egna kunskaper genom att samverka med andra. Ingen kan täcka alla dimensioner själv. Därför måste organisationen bygga tvärfunktionella team där IT, HR och juridik är representerade.
  • Bristande ledning. NIS2 är starkt beroende av ledningens engagemang. Lagen ställer uttryckligt krav på detta. När ledningen inte visar i handling att frågan är prioriterad blir det svårt för resten av organisationen att ta arbetet på allvar. Det handlar om mandat, resurser och tydliga roller – men också om utbildning. Ledningen måste själva ha en viss grundkompetens och omfattas av kompetenshöjningen.
  • Resursbrist och prioriteringskonflikter. Informationssäkerhet riskerar att ses som en stödfunktion snarare än en kärnfråga. Detta trots att konsekvenserna av brister kan bli mycket kostsamma.
  • Avsaknad av kontinuitet. Beroende av enskilda individer kan utgöra en ytterst påtaglig utmaning inom en organisation. När till exempel säkerhetsansvariga byts ut eller lämnar förlorar ofta organisationen både momentum och dokumentation.

Den gemensamma nämnaren för alla dessa fallgropar är att informationssäkerhet blir en punktinsats snarare än en långsiktig kulturell och organisatorisk förändring.

Lästips: Gör din organisation redo för NIS2 – en praktisk roadmap

Omfattas din organisation av NIS2?

Som organisation är den första och mest grundläggande frågan att avgöra om man omfattas av den nya lagstiftningen. Det kan låta självklart, men att göra en korrekt bedömning är av yttersta vikt.

NIS2 tar sikte på många fler sektorer än tidigare – inte bara traditionella samhällsaktörer, utan till exempel livsmedel, tillverkning och digitala tjänster.

Reglerna riktar sig främst till medelstora och stora företag, men kan även omfatta mindre aktörer om deras roll är särskilt betydelsefull. Grundregeln är att företag med minst 50 anställda eller 50 miljoner kronor i omsättning träffas av lagen. NIS2 tar även hänsyn till om företaget ingår i en koncern, vilket gör att företag kan träffas ändå.

Värt att nämna i detta sammanhang är också att det finns en indirekt påverkan via leverantörskedjan. Om en organisation inte omfattas direkt kan den behöva leva upp till motsvarande kundkrav, exempelvis i form av leverantörsavtal.

Det är upp till varje företag att se till att anmäla sig till ansvarig tillsynsmyndighet, där MSB får ett övergripande ansvar. Se därför till att göra en noggrann bedömning för att se hur lagen påverkar ert bolag.

Kom igång – steg för steg

För att arbetet inte ska bli överväldigande rekommenderar Christopher ett pragmatiskt, tillvägagångssätt i olika steg:

  1. Nulägesanalys / GAP-analys. Kartlägg informationen med avstamp i de krav som ställs av NIS2 – både internt och utifrån leverantörskedjan. Identifiera luckor i teknik, processer, dokumentation och ansvarsfördelning.
  2. Utbilda och höj kunskapsnivån. Säkerställ att ledning, styrelse och nyckelfunktioner förstår direktivets innebörd. Använd gärna branschresurser, utbildningar och juridiska analyser, till exempel via informationssakerhet.se
  3. Planera och strukturera. Skapa en övergripande plan för arbetet, gärna i form av ett årshjul eller en liknande struktur. Dokumentera för att kunna följa och revidera planen. På så sätt behöver heller inte hela planen göras om varje år.
  4. Inför processer och delaktighet. Utse en huvudansvarig, men involvera flera delar av verksamheten, som IT, juridik, HR med mera. Säkerställ att säkerhetsarbetet inte blir alltför knutet till enskilda individer.
  5. Prioritera risker och agera stegvis. Fokusera på de största riskerna först snarare än att försöka ta er an allt på en och samma gång. Se till att återkommande revisioner, tester och förbättringar ingår i arbetet.


Ta del av vår checklista: Checklista för NIS2

Resan är målet

NIS2-direktivet innebär en markant skärpning av ansvar och krav för många organisationer. Samtidigt innebär den nya lagen en möjlighet att stärka säkerheten och trovärdigheten, både internt och externt.

Christopher avslutar med att påminna om några viktiga grundprinciper:

- Med NIS2 kan man verkligen säga att resan är målet. Lösningen är att få långsiktiga strukturer på plats och att bygga rätt kultur, inte om att bocka av ett regelverk. Se därför till att börja där ni står. Ta små steg i rätt riktning. Det är både mer hållbart och effektivt än att hitta den perfekta lösningen. Dessutom är det betydligt lättare och roligare.

NIS2 är med andra ord inte slutmålet, utan startpunkten för ett kontinuerligt arbete. Genom att arbeta strukturerat och långsiktigt går det inte bara att klara regelkraven, utan skapa en tryggare, starkare och mer motståndskraftig organisation.

Vill du veta mer om hur Stratsys GRC-plattform kan hjälpa din organisation med NIS2? Kontakta oss.