Är NIS2 på väg att bli den nya lägstanivån för cybersäkerhet?

Är NIS2 på väg att bli den nya lägstanivån för cybersäkerhet – även för organisationer som inte formellt omfattas av den kommande cybersäkerhetslagen?

Bakgrund

Under flera år har vi försökt höja lägstanivån för cybersäkerhet i svenska organisationer – inte bara för att skydda enskilda verksamheter, utan för att stärka samhällets motståndskraft.

När det inte skedde tillräckligt mycket på frivillig väg tog EU fram NIS2-direktivet. I Sverige ska det nu genomföras genom en ny cybersäkerhetslag som enligt nuvarande plan börjar gälla den 15 januari 2026.

NIS2 som praktisk marknadsstandard

Jag tror att NIS2 ganska snart blir en praktisk marknadsstandard därför att:

• branschen redan använder den som kompass för kravställning
• kunder och upphandlande organisationer skickar kraven vidare i leverantörskedjorna
• aktörer som ligger tydligt under nivån blir allt svagare partners

Resultatet? Även organisationer som egentligen inte omfattas direkt av lagen kommer att behöva förhålla sig till kraven.

Lärdomar från Storbritannien: Cyber Essentials

Vi kan ta Storbritannien och Cyber Essentials som exempel och föregångare – och fundera på hur en liknande utveckling skulle kunna ske kring NIS2.

Cyber Essentials, en statligt stödd certifieringsmodell, beskriver en grundnivå av tekniska säkerhetskontroller.

Idag används den ofta som:

• “minimum baseline” i offentliga upphandlingar
• underlag för leverantörskrav
• en praktisk startpunkt för organisationer som vill “göra något konkret” åt sin säkerhet

Innehållet är förstås annorlunda, men logiken är liknande: en definierad grundnivå blir praktisk marknadsstandard. Jag tror att NIS2 kan få en liknande roll inom EU och Sverige.

NIS2 – inga konstigheter

Tittar man på vad NIS2 faktiskt kräver är det, enligt min mening, inga konstigheter. Det handlar om att:

• förstå sina risker och arbeta systematiskt
• ha styrning och uppföljning kring informations- och cybersäkerhet
• säkra teknik, drift och leverantörer
• kunna upptäcka, hantera och rapportera incidenter

För dem som redan jobbat med IT- och informationssäkerhet är det här framför allt ett sätt att strukturera arbetet – och ett stöd i att tydliggöra att förankringen måste komma från ledningen.

För andra blir det mer jobb – men här tycker jag sunt förnuft bör råda. Börja där ni står och kör igång med delar av innehållet om det är för tungt att ta allt samtidigt.

Min spaning

Jag tror att vi om några år ser tillbaka på 2026 som året då NIS2 etablerades som de facto-standard – och blev den naturliga referenspunkten för “tillräckligt bra” cybersäkerhet i Sverige och EU.

Är jag lite väl hoppfull – eller håller du med?

Hur ser du på NIS2: nödvändigt ont eller en chans att sätta en ny säkerhetsbaslinje i din organisation?