Det är en viktig distinktion. Att känna till de nio säkerhetsområdena är en sak. Att bygga ett system som kontinuerligt dokumenterar, följer upp och rapporterar mot dem är något helt annat.
Den här artikeln handlar om det senare. Inte om vad lagen säger, utan om hur ett strukturerat compliance-arbete ser ut i praktiken och vad det innebär för hur ditt systemstöd behöver vara konfigurerat.
Varför NIS2-arbetet behöver vara ett tillstånd, inte ett projekt
Det vanligaste misstaget vi ser är att organisationer behandlar NIS2-implementation som ett projekt med ett slutdatum. Cybersäkerhetslagen kräver ett löpande tillstånd av compliance, inte en engångsinsats.
Det spelar direkt roll för hur systemstödet behöver vara uppbyggt. En verksamhet som byter leverantör, drabbas av en incident eller ändrar sin systemkonfiguration måste kunna fånga upp det i sitt compliance-arbete omedelbart, inte vid nästa projektgenomgång.
Det vi ser i våra kunddialoger är att organisationer som lyckas bygger ett system. De som får problem bygger en rapport.
Steg 1: Kartlägg nuläget mot de nio kraven
Startpunkten är alltid en kartläggning av nuläget mot cybersäkerhetslagens nio säkerhetsområden. Inte för att bocka av en lista, utan för att förstå var de faktiska riskerna och bristerna finns.
En kartläggning som görs i ett kalkylark är en ögonblicksbild. Det som spelar roll är om systemet kontinuerligt håller den bilden uppdaterad när verksamheten förändras.
Hy5 strukturerar kartläggningen mot lagens krav och håller statusen levande som ett löpande tillstånd, inte som en engångsdokumentation.
Steg 2: Prioritera efter risk, inte efter regeltext
Alla nio säkerhetsområden väger inte lika tungt för alla verksamheter. En organisation inom hälso- och sjukvård har en annan riskprofil än en inom digital infrastruktur.
En fråga som ofta dyker upp i våra kunddialoger är hur man prioriterar när resurserna är begränsade. Svaret är att prioriteringen ska styras av riskanalys, inte av i vilken ordning kraven råkar stå i lagtexten.
Det påverkar direkt hur ett compliance-system behöver vara konfigurerat. Hy5 kopplar varje krav till en riskbedömning så att organisationen alltid vet var de mest kritiska bristerna finns, inte bara vilka krav som är tekniskt uppfyllda.
Steg 3: Ledningsansvaret är inte en formalitet
Cybersäkerhetslagen är tydlig på en punkt som ofta underskattas: ledningen har ett personligt ansvar. Det räcker inte att IT-avdelningen har koll. Styrelsen och ledningsgruppen måste kunna visa att de aktivt styr och följer upp säkerhetsarbetet.
Det här är en systemfråga, inte bara en kulturfråga. Ledningen behöver tillgång till rätt information i rätt format för att kunna ta det ansvaret. Rapportering som kräver manuell sammanställning varje kvartal är inte ett hållbart underlag för ledningsansvar.
Hy5 genererar löpande compliance-rapporter anpassade för ledningsnivå, utan manuell administration.
Steg 4: Leverantörsgranskning kräver ett system
Leverantörskedjesäkerhet är ett av de krav som skapar mest friktion i praktiken. Hur långt ned i leverantörskedjan ska man gå? Vad är rimligt att kräva av en underleverantör?
MCF har ännu inte kommunicerat tydlig vägledning om exakt vad som förväntas här. Det vi vet är att organisationen måste kunna visa att den har bedömt och hanterar risker i sin leverantörskedja.
Det innebär att systemstödet behöver hålla reda på vilka leverantörer som är granskade, när granskningen gjordes och vad resultatet var. Hy5 hanterar leverantörsgranskning som en integrerad del av compliance-arbetet, inte som en separat process.
Steg 5: Löpande uppföljning, inte periodisk kontroll
Det femte steget är egentligen en princip som genomsyrar alla de andra: compliance under cybersäkerhetslagen upprätthålls löpande, inte vid fasta tillfällen.
Det kräver automatiserade kontroller och ett system som flaggar avvikelser innan de blir incidenter eller tillsynsproblem. Organisationer som försöker upprätthålla det med manuella processer lägger resurser på administration i stället för på faktisk säkerhet.
Vill du se hur Hy5 strukturerar NIS2-arbetet?
Hy5 hanterar kartläggning, riskprioritering, ledningsrapportering och leverantörsgranskning i en och samma plattform. Används av svenska verksamheter för att operationalisera cybersäkerhetslagen utan parallella processer och manuell administration.
Hy5 kan drastiskt öka effektiviteten och precision för compliancearbete.
