Hur ISO/IEC 27001:2022 påskyndar NIS2-efterlevnad för små och medelstora företag

NIS2-direktivet är här, och för många små och medelstora företag känns det som en regulatorisk flodvåg. Om du är ett litet eller medelstort företag i en kritisk sektor, eller ingår i en större leveranskedja, omfattas du nu av högre krav på cybersäkerhet. Den här guiden visar hur du kan använda det globalt erkända ramverket ISO/IEC 27001:2022 för att uppfylla NIS2-kraven effektivt och strategiskt.

Vad står på spel

Direktivet om åtgärder för en hög gemensam cybersäkerhetsnivå i hela unionen, NIS2, är EU:s ambitiösa initiativ för att stärka cyberresiliensen i kritiska sektorer. Till skillnad från sin föregångare har NIS2 ett betydligt bredare tillämpningsområde, omfattar fler branscher och lägger ett direkt ansvar på högsta ledningen. För ett litet eller medelstort företag är det inte ett alternativ att vara oförberedd. Direktivet kräver en basnivå av säkerhetsåtgärder, strikta tidsfrister för incidentrapportering och robust riskhantering i leveranskedjan. Bristande efterlevnad kan leda till betydande sanktionsavgifter, driftstörningar och allvarlig skada på anseendet som kan äventyra viktiga affärsrelationer.

I grunden kräver NIS2 att organisationer tillämpar ett proaktivt, riskbaserat arbetssätt för cybersäkerhet. Article 21 i direktivet anger en miniminivå av åtgärder, inklusive policyer för riskanalys, incidenthantering, verksamhetskontinuitet och säkerhet i leveranskedjan. Detta är inte en enkel övning i att bocka av krav. Tillsynsmyndigheter kommer att förvänta sig underlag som visar ett levande säkerhetsprogram som utgår från organisationens specifika hotbild och har infört lämpliga kontroller för att reducera riskerna. För ett litet eller medelstort företag med begränsade resurser kan det kännas överväldigande att bygga detta från grunden, vilket ofta leder till fragmenterade insatser som inte uppfyller direktivets helhetsperspektiv.

Tänk på ett medelstort logistikföretag som tillhandahåller transporttjänster för livsmedelssektorn. Enligt NIS2 betraktas företaget nu som en ”viktig entitet”. En ransomware-attack som krypterar företagets planerings- och ruttoptimeringssystem kan stoppa verksamheten i flera dagar, orsaka förstörda varor och leda till brutna åtaganden i leveranskedjan. Enligt NIS2 skulle en sådan incident behöva rapporteras till myndigheter inom 24 timmar. Företaget skulle också granskas utifrån sina rutiner för riskhantering. Fanns det korrekta säkerhetskopior? Var åtkomsten till kritiska system kontrollerad? Hade programvaruleverantörerna granskats ur säkerhetsperspektiv? Utan ett strukturerat ramverk blir hanteringen kaotisk och det blir ofta svårt att visa att tillbörlig aktsamhet har iakttagits.

Hur ett bra upplägg ser ut

Att uppnå efterlevnad av NIS2 behöver inte innebära att uppfinna hjulet på nytt. Ett ledningssystem för informationssäkerhet baserat på ISO/IEC 27001:2022 ger en mycket stark grund. Standarden är utformad för att hjälpa organisationer att hantera sina informationssäkerhetsrisker systematiskt. Den inbyggda anpassningen innebär att du genom att införa ISO 27001 samtidigt bygger just de förmågor och den dokumentation som NIS2 kräver. Det omvandlar en krävande regulatorisk börda till ett strukturerat och hanterbart projekt som skapar konkret affärsvärde utöver ren regelefterlevnad.

Sambandet är tydligt inom flera områden. NIS2:s krav på riskbedömning och säkerhetspolicyer motsvarar själva kärnan i ISO 27001, klausulerna 4 till 8. Direktivets starka fokus på säkerhet i leveranskedjan adresseras direkt av kontroller i bilaga A, exempelvis 5.19, 5.20 och 5.21, som omfattar säkerhet i leverantörsrelationer. På samma sätt möts NIS2:s krav på incidenthantering och verksamhetskontinuitet genom införande av kontrollerna 5.24 till 5.30. Genom att använda ISO 27001 skapar du ett sammanhållet system som uppfyller flera krav samtidigt, sparar tid, minskar dubbelarbete och ger en tydlig redogörelse för revisorer och tillsynsmyndigheter. Vårt omfattande kontrollbibliotek hjälper dig att kartlägga dessa krav exakt. Zenith Controls¹

Föreställ dig en liten leverantör av hanterade tjänster (MSP) som driftar infrastruktur åt ett lokalt sjukhus. Sjukhuset är en ”väsentlig entitet” enligt NIS2 och måste säkerställa att dess leverantörer är säkra. Genom att uppnå ISO 27001-certifiering kan MSP:n omedelbart lämna internationellt erkänd försäkran om att den har ett robust ISMS. Den kan hänvisa till sin riskbedömning, sin redogörelse för tillämplighet och sina internrevisionsrapporter som konkreta underlag för efterlevnad. Detta uppfyller inte bara sjukhusets krav på leverantörsgranskning enligt NIS2, utan blir också en stark konkurrensfördel som öppnar dörrar till mer affärsverksamhet i reglerade sektorer.

Praktisk väg framåt

Att bygga ett ISMS som är anpassat till både ISO 27001 och NIS2 är ett strategiskt projekt, inte bara en IT-uppgift. Det kräver ett metodiskt arbetssätt som börjar med att förstå organisationen och dess risker, och därefter systematiskt införa kontroller för att hantera dem. Genom att dela upp arbetet i logiska faser kan även ett litet team göra stabila och verifierbara framsteg. Denna väg säkerställer att du bygger ett system som inte bara uppfyller krav, utan också faktiskt skyddar verksamheten. Målet är att skapa ett hållbart säkerhetsprogram, inte enbart att klara en revision.

Fas 1: Lägg grunden (vecka 1–4)

Den första fasen handlar om att skapa förutsättningarna. Innan du kan hantera risk måste du förstå ditt sammanhang. Det innebär att definiera vad du ska skydda (omfattningen), säkra ledningens åtagande och identifiera alla rättsliga och regulatoriska krav, där NIS2 är en central drivkraft. Detta grundläggande arbete, som vägleds av ISO 27001 klausulerna 4 och 5, är avgörande för att säkerställa att ditt ISMS är anpassat till verksamhetens mål och har det mandat som krävs för att lyckas. Utan tydlig omfattning och ledningsstöd kommer även de bästa tekniska insatserna att försvagas.

• Definiera ISMS-omfattningen: Dokumentera tydligt vilka delar av verksamheten, systemen och platserna som ska omfattas.
• Säkra ledningens åtagande: Inhämta formellt godkännande och resurser från högsta ledningen. Detta är ett krav som inte är förhandlingsbart enligt både ISO 27001 och NIS2.
• Identifiera intressenter och krav: Lista alla intressenter (kunder, tillsynsmyndigheter, partner) och deras säkerhetsförväntningar, inklusive de specifika artiklarna i NIS2.
• Tillsätt införandeteamet: Tilldela roller och ansvar för att bygga upp och underhålla ISMS.

Fas 2: Bedöm och planera riskbehandlingen (vecka 5–8)

Detta är kärnan i ditt ISMS. Här identifierar, analyserar och utvärderar du informationssäkerhetsrisker systematiskt. Processen ska vara formell och upprepningsbar. Du identifierar kritiska tillgångar, hot som kan skada dem och sårbarheter som exponerar dem. Resultatet är en prioriterad risklista som gör det möjligt att fatta välgrundade beslut om var resurserna ska läggas. Denna riskbedömning uppfyller direkt kärnkravet i NIS2 Article 21 och ger en försvarbar grund för din säkerhetsstrategi. Vår införandeblåkopia ger de verktyg som krävs, inklusive ett färdigt riskregister, för att effektivisera processen. Zenith Blueprint²

• Skapa en tillgångsförteckning: Dokumentera alla viktiga informationstillgångar, inklusive data, programvara, hårdvara och tjänster.
• Genomför en riskbedömning: Använd en definierad metodik för att identifiera hot och sårbarheter för varje tillgång och beräkna därefter risknivåer.
• Välj alternativ för riskbehandling: För varje betydande risk ska du besluta om den ska reduceras, accepteras, undvikas eller överföras.
• Ta fram en riskbehandlingsplan: För risker som ska reduceras väljer du lämpliga kontroller från ISO 27001 bilaga A och dokumenterar planen för att införa dem.
• Skapa en redogörelse för tillämplighet (SoA): Dokumentera vilka av de 93 kontrollerna i bilaga A som är tillämpliga på organisationen och varför, samt motivera eventuella undantag.

Fas 3: Inför kontroller och bygg upp underlag (vecka 9–16)

När planen är på plats är det dags att genomföra den. Denna fas omfattar införande av de policyer, rutiner och tekniska kontroller som identifierats i riskbehandlingsplanen. Det är här teorin omsätts i praktik. Det kan handla om att införa flerfaktorsautentisering, skriva en ny policy för säkerhetskopiering eller utbilda personalen i att känna igen nätfiske. Det är avgörande att dokumentera allt som görs. För varje kontroll som införs ska du skapa underlag som visar att den fungerar effektivt. Detta underlag blir centralt vid interna och externa revisioner samt för att visa NIS2-efterlevnad för tillsynsmyndigheter.

• Inför tekniska kontroller: Inför säkerhetsåtgärder såsom brandväggar, kryptering, åtkomstkontroller och loggning.
• Skriv och kommunicera policyer: Ta fram och publicera centrala policyer inom områden som godtagbar användning, åtkomstkontroll och incidenthantering.
• Genomför säkerhetsmedvetenhetsutbildning: Utbilda alla anställda i deras ansvar för informationssäkerhet.
• Etablera övervakning och mätning: Sätt upp processer för att övervaka kontrollernas effektivitet och mäta ISMS-prestanda.

Fas 4: Övervaka, revidera och förbättra löpande (löpande)

Ett ISMS är inte ett engångsprojekt; det är en kontinuerlig förbättringscykel. Denna avslutande fas, som styrs av ISO 27001 klausulerna 9 och 10, handlar om att säkerställa att ditt ISMS förblir effektivt över tid. Du genomför regelbundna internrevisioner för att kontrollera efterlevnad och identifiera svagheter. Ledningen granskar ISMS-prestanda för att säkerställa att systemet fortsatt stödjer verksamhetens mål. Eventuella problem eller avvikelser som identifieras följs upp formellt och åtgärdas. Denna löpande process för övervakning och förfining är exakt vad NIS2-tillsynsmyndigheter vill se, eftersom den visar organisationens åtagande att upprätthålla ett starkt säkerhetsläge.

• Genomför internrevisioner: Granska regelbundet ditt ISMS mot kraven i ISO 27001 och organisationens egna policyer.
• Genomför ledningens genomgång: Presentera ISMS-prestanda för högsta ledningen och fatta strategiska beslut.
• Hantera avvikelser: Inför en formell process för att identifiera, dokumentera och åtgärda problem eller efterlevnadsluckor.
• Förbered certifieringsrevisionen: Samarbeta med ett externt certifieringsorgan för att få ditt ISMS formellt reviderat och certifierat.

Policyer som gör arbetet bestående

Policyer är ryggraden i ditt ISMS. De översätter säkerhetsstrategin till tydliga, bindande regler för hela organisationen. För NIS2-efterlevnad är väldefinierade och konsekvent tillämpade policyer inte bara god praxis; de är ett krav. Dessa dokument ger tydlig vägledning till anställda, sätter förväntningar på leverantörer och fungerar som kritiskt underlag för revisorer och tillsynsmyndigheter. De visar att säkerhetsarbetet är avsiktligt och systematiskt, inte reaktivt eller ad hoc. Två av de mest grundläggande policyerna som stödjer både ISO 27001 och NIS2 är policy för tillgångshantering och policy för säkerhetskopiering och återställning.

Policy för tillgångshantering³ är utgångspunkten för allt säkerhetsarbete. Du kan inte skydda det du inte vet att du har. Denna policy etablerar en formell process för att identifiera, klassificera och hantera alla informationstillgångar genom hela deras livscykel. För NIS2 är en heltäckande tillgångsförteckning nödvändig för att avgränsa riskbedömningen. Den säkerställer insyn i alla system, applikationer och data som stödjer kritiska tjänster. Utan detta saknas överblick, vilket sannolikt lämnar betydande luckor i säkerhetstäckningen. Policyn säkerställer tydligt ansvar och att alla kritiska komponenter ingår i säkerhetsprogrammet.

Lika viktig är policy för säkerhetskopiering och återställning⁴. NIS2 Article 21 kräver uttryckligen åtgärder för verksamhetskontinuitet, såsom hantering av säkerhetskopiering och katastrofåterställning. Policyn definierar reglerna för vilka data som ska säkerhetskopieras, hur ofta, var säkerhetskopior ska lagras och hur de ska testas. Vid en störande incident, exempelvis en ransomware-attack, är en väl genomförd strategi för säkerhetskopiering ofta det enda som står mellan snabb återställning och ett katastrofalt verksamhetsavbrott. Policyn ger ledning, kunder och tillsynsmyndigheter försäkran om att det finns en trovärdig plan för att upprätthålla operativ resiliens och återställa kritiska tjänster i rätt tid, vilket direkt uppfyller ett centralt krav i direktivet.

Ett litet ingenjörsföretag som konstruerar komponenter för energisektorn införde en formell policy för tillgångshantering. Genom att katalogisera sina designservrar, CAD-programvarulicenser och känsliga kunddata identifierade företaget sina mest kritiska tillgångar. Det gjorde att den begränsade säkerhetsbudgeten kunde fokuseras på att skydda dessa högt värderade mål med starkare åtkomstkontroller och kryptering, vilket visade ett moget, riskbaserat arbetssätt vid en leverantörsrevision från en större energikund.

Checklistor

För att hjälpa dig framåt finns här tre praktiska checklistor. De är utformade för att vägleda dig genom de viktigaste stegen för att bygga, driva och verifiera ditt ISMS, så att du täcker de väsentliga kraven i både ISO/IEC 27001:2022 och NIS2-direktivet.

Bygg: etablera ditt ISO 27001-ramverk för NIS2-efterlevnad

Innan du kan driva ett kravuppfyllande ISMS måste det byggas på en solid grund. Den inledande fasen handlar om planering, avgränsning samt att säkra nödvändigt mandat och resurser. Ett misstag här kan underminera hela projektet. Checklistan omfattar de centrala strategiska steg som krävs för att definiera ditt ISMS och anpassa det till riskhanteringsprinciperna i NIS2.

• Säkra formellt ledningsgodkännande och budget för ISMS-projektet.
• Definiera och dokumentera ISMS-omfattningen, med uttrycklig hänvisning till tjänster som omfattas av NIS2.
• Identifiera alla tillämpliga rättsliga, regulatoriska (NIS2) och avtalsmässiga krav.
• Upprätta en tillgångsförteckning över all information, hårdvara, programvara och alla tjänster som ingår i omfattningen.
• Genomför en formell riskbedömning för att identifiera hot och sårbarheter kopplade till viktiga tillgångar.
• Skapa en riskbehandlingsplan som beskriver de kontroller som valts för att reducera identifierade risker.
• Ta fram en redogörelse för tillämplighet (SoA) som motiverar inkludering och exkludering av samtliga 93 kontroller i bilaga A.
• Utarbeta och godkänn grundläggande policyer, inklusive informationssäkerhetspolicy, policy för tillgångshantering och policy för godtagbar användning.

Driv: upprätthåll daglig säkerhetshygien

Efterlevnad är inte en engångshändelse. Den är resultatet av konsekvent operativ disciplin i det dagliga arbetet. Denna checklista fokuserar på de löpande aktiviteter som håller ditt ISMS effektivt och organisationen säker. Det är de praktiska åtgärder som visar revisorer och tillsynsmyndigheter att säkerhetsprogrammet är aktivt och fungerande, inte bara en samling dokument i en hylla.

• Genomför regelbunden säkerhetsmedvetenhetsutbildning för alla anställda, inklusive phishing-simuleringar.
• Tillämpa rutiner för åtkomstkontroll, inklusive regelbundna granskningar av användarbehörigheter och privilegierad åtkomst.
• Hantera tekniska sårbarheter genom att införa en systematisk process för patchhantering.
• Övervaka system och nätverk avseende säkerhetshändelser och ovanlig aktivitet.
• Genomför och testa rutiner för säkerhetskopiering och återställning av data enligt policy.
• Hantera ändringar i system och applikationer genom en formell process för ändringshantering.
• Följ upp leverantörssäkerhet genom regelbundna granskningar och bedömningar av nyckelleverantörer.
• Upprätthåll fysisk säkerhet för lokaler, inklusive åtkomstkontroll till känsliga områden.

Verifiera: revidera och förbättra ditt ISMS

Den sista pusselbiten är verifiering. Du måste regelbundet kontrollera att kontrollerna fungerar som avsett och att ditt ISMS uppnår sina mål. Denna kontinuerliga förbättringsloop är en kärnprincip i ISO 27001 och en central förväntan enligt NIS2. Checklistan omfattar de säkerställande aktiviteter som ger ledning och intressenter förtroende för organisationens säkerhetsläge.

• Schemalägg och genomför en fullständig internrevision av ISMS mot ISO 27001-kraven.
• Genomför regelbundna penetrationstester eller sårbarhetsskanningar av kritiska system.
• Testa din incidenthanteringsplan med skrivbordsövningar eller fullständiga simuleringar.
• Testa planer för katastrofåterställning och verksamhetskontinuitet.
• Håll formella möten för ledningens genomgång för att bedöma ISMS-prestanda och fördela resurser.
• Följ upp alla revisionsiakttagelser och avvikelser i ett register för korrigerande åtgärder tills de är åtgärdade.
• Samla in och analysera mätetal om säkerhetskontrollernas effektivitet.
• Uppdatera riskbedömningen minst årligen eller när betydande förändringar inträffar.

Vanliga fallgropar

Vägen till både ISO 27001- och NIS2-efterlevnad är krävande, och flera vanliga misstag kan få även välmenande initiativ att spåra ur. Genom att känna till dessa fallgropar kan du undvika dem.

• Att underskatta kraven på leveranskedjan: NIS2 lägger ett ovanligt starkt fokus på säkerhet i leveranskedjan. Många små och medelstora företag fokuserar enbart på interna kontroller och glömmer att genomföra säkerhetsbedömningar av sina kritiska leverantörer. Om din molnleverantör eller programvaruleverantör drabbas av ett säkerhetsfel som påverkar dig är du fortfarande ansvarig enligt NIS2. Du måste ha en process för att bedöma och hantera leverantörsrisker.
• Att behandla det som ett rent IT-projekt: Även om IT är starkt involverat är informationssäkerhet en verksamhetsfråga. Utan verkligt mandat och ledarskap från högsta nivå kommer ISMS att sakna den befogenhet och de resurser som krävs. NIS2 lägger uttryckligen ansvar på ledningen, vilket innebär att den måste vara aktivt involverad i styrning och riskbeslut.
• Att skapa hyllvärmare: Den största fallgropen är att skapa en välformulerad dokumentuppsättning som ingen följer. Ett ISMS är ett levande system. Om policyerna inte kommuniceras, rutinerna inte följs och kontrollerna inte övervakas har du inte uppnått något annat än en falsk känsla av säkerhet. Revisorer och tillsynsmyndigheter kommer att efterfråga underlag för faktisk drift, inte bara dokumentation.
• Bristfällig eller otydlig avgränsning: En för bred omfattning kan göra projektet ohanterligt för ett litet eller medelstort företag. En för snäv omfattning kan lämna kritiska system som omfattas av NIS2 utanför, vilket skapar en allvarlig efterlevnadslucka. Omfattningen måste bedömas noggrant och tydligt anpassas till kritiska tjänster och verksamhetsmål.
• Att försumma testning av incidenthantering: Att ha en incidenthanteringsplan är ett grundkrav. Om den aldrig har testats kommer den sannolikt att fallera vid en verklig kris. NIS2 har mycket strikta rapporteringstidsfrister (en inledande rapport inom 24 timmar). En skrivbordsövning kan snabbt visa luckor i planen, till exempel att det är oklart vem som ska kontaktas eller hur rätt information snabbt ska samlas in.

Ett litet företag inom finansiella tjänster uppnådde ISO 27001-certifiering men hade bara diskuterat sin incidenthanteringsplan på möten. När företaget drabbades av en mindre personuppgiftsincident var teamet oförberett. De förlorade timmar på att diskutera vem som hade befogenhet att kontakta cyberförsäkringsbolaget och hade svårt att samla in nödvändiga forensiska data, vilket gjorde att de nästan missade den regulatoriska rapporteringsfristen.

Nästa steg

Redo att bygga ett resilient säkerhetsläge som uppfyller både ISO 27001 och NIS2? Våra verktygspaket ger dig de policyer, mallar och den vägledning du behöver för att påskynda din resa mot efterlevnad.

• Zenith Suite
• Complete SME + Enterprise Combo Pack
• Full SME Pack

Referenser