NIS2‑direktivet och de motsvarande nationella lagstiftningarna håller nu äntligen på att bli verklighet. Många organisationer kan frestas att luta sig tillbaka och lita på att deras ISO 27001‑certifiering räcker för att uppfylla kraven i NIS2.

Så är det inte. NIS2 ställer striktare krav på styrning, ansvar och rapportering och omfattar dessutom fler sektorer än tidigare. För att undvika kostsamma överraskningar när direktivet börjar gälla i år är det affärskritiskt att förstå var era brister finns och vad som krävs för full efterlevnad.

ISO 27001: en stark grund – men inte hela lösningen
Att vara ISO 27001‑certifierad är utan tvekan en mycket stark grund när det gäller att arbeta systematiskt med informationssäkerhet. Certifieringen täcker också många av de tekniska och organisatoriska krav som NIS2 adresserar. Men att ha ett ISO 27001‑certifikat är inte detsamma som att vara helt NIS2‑kompatibel, och det kan ge en falsk känsla av trygghet.

Det beror på att NIS2 omfattar områden som ligger utanför ISO 27001:s räckvidd. Till exempel inför NIS2:
– Tydligt ledningsansvar – styrelse och ledning har ett explicit juridiskt ansvar.
– Rapporteringskrav – allvarliga incidenter måste rapporteras inom 24 timmar.
– Sanktioner – organisationer riskerar betydande böter och även personliga påföljder.

Flera kritiska delar av NIS2 ligger alltså utanför ISO 27001‑ramverket och kräver ytterligare insatser, såsom:
– Tillsyn och myndighetskontroller – förberedelser för extern granskning.
– Leverantörs- och tredjepartsrisker – förstärkt kontroll över hela leverantörskedjan.

ISO 27001 tar er med andra ord inte hela vägen, vilket kan göra bristande efterlevnad till en dyr väckarklocka.

Börja med en gap‑analys
Oavsett om er organisation är ISO 27001‑certifierad eller inte, är en NIS2‑gap‑analys det mest effektiva sättet att förstå ert nuläge och vilka åtgärder som krävs. Analysen ger en tydlig bild av styrkor och av vilka områden som behöver förstärkas för att uppnå full efterlevnad. Enkelt uttryckt hjälper gap‑analysen er att ta kontroll, definiera rätt väg framåt, säkerställa compliance och skydda verksamheten.

Vägen framåt innebär ofta att etablera rätt processer och implementera rätt verktyg som ger överblick och kontroll när det gäller styrning, rutiner och hur ni arbetar med cybersäkerhet över tid. Nexers Cybersecurity‑team kan stötta med:
– Genomförande av gap‑analyser mot NIS2.
– Uppföljning av åtgärder och implementering.
– Löpande översyn och insikter för ledning och verksamhet.

Ta kontroll idag
ISO 27001 är en utmärkt grund för systematiskt informationssäkerhetsarbete. Men för att uppfylla NIS2:s fulla krav behöver organisationer genomföra en grundlig analys, identifiera brister och etablera rutiner som omfattar tekniska, organisatoriska och juridiska aspekter. Med rätt stöd kan ni inte bara uppnå efterlevnad – ni kan också bygga en robust och långsiktig säkerhetskultur.

Läs mer om NIS2 och hur Nexers Cybersecurity‑team kan stötta er:
https://nexergroup.com/sv/konsulter-och-team/nis2-direktivet/
https://nexergroup.com/consulting-and-teams/nis2-directive/nis2-explained/

Om författaren
Linda Sundvall är en erfaren Security Operations Center (SOC)‑ och Managed Security Service Provider (MSSP)‑operatör med lång erfarenhet av att identifiera och åtgärda sårbarheter. På Nexer arbetar hon med informationssäkerhet och tredjepartsriskhantering för att stärka organisationers säkerhetskultur.