NIS2 i praktiken: bygg er roadmap med CIS ControlsNIS2 in practice: build your roadmap with CIS Controls

RegelefterlevnadComplianceJuni 2026June 20267 min

NIS2 är här. Mellan 2024 och 2026 skärps kraven på svenska kommuner, kommunala bolag och företag med samhällsviktiga tjänster. Frågan är inte längre om ni omfattas. Frågan är om ni kan visa att ni har kontroll.

Vad NIS2 faktiskt kräver

NIS2 innebär tydligare krav på riskhantering, incidentrapportering med första varning inom 24 timmar, styrning av leverantörer och ett reellt ledningsansvar. Ledningen kan inte längre delegera bort frågan: den ska godkänna säkerhetsarbetet, följa upp det och förstå riskerna.

Det räcker inte längre med brandvägg och antivirus. Ni måste kunna visa ett systematiskt säkerhetsarbete, med dokumentation som håller för granskning.

Varför CIS Controls är rätt verktyg

Ramverk finns det gott om. Det som gör CIS Controls praktiskt användbart är att åtgärderna är konkreta och prioriterade. De är ordnade i implementationsgrupper: IG1 är grundläggande cyberhygien som alla organisationer klarar av, IG2 bygger vidare för verksamheter med känsligare data och högre krav. För de flesta svenska SMB och kommuner är IG1–IG2 en realistisk nivå som dessutom täcker huvuddelen av det NIS2 efterfrågar.

Fem åtgärder som lyfter er snabbt

MFA och strikt åtkomststyrning. Stoppar den vanligaste intrångsvägen: stulna inloggningsuppgifter.
Kontinuerlig sårbarhetshantering och patchning. Kända hål ska hittas och täppas till löpande, inte vid årliga punktinsatser.
Centraliserad loggning och övervakning. Utan loggar kan ni varken upptäcka en incident eller rapportera den inom 24 timmar.
Testad backup och återställning. En backup som aldrig testats är ett antagande, inte ett skydd.
En tydlig incidentprocess. Vem gör vad, i vilken ordning, och vem rapporterar till myndigheten?

En 12-månaders roadmap

Kvartal 1 – nuläge och förankring. Inventera system, data och leverantörer. Gör en gap-analys mot IG1. Förankra arbetet i ledningen med tydligt ägarskap och budget.

Kvartal 2 – grundskydd. Inför MFA överallt, städa behörigheter, etablera patchrutiner och se till att backuper tas, är åtskilda från produktionsmiljön och faktiskt testas.

Kvartal 3 – upptäckt och respons. Centralisera loggningen, etablera övervakning och bygg incidentprocessen med 24-timmarsrapporteringen som krav. Börja ställa säkerhetskrav på leverantörer i avtal.

Kvartal 4 – bevisa det. Genomför en övning där ni spelar igenom en incident från upptäckt till rapport. Granska dokumentationen, åtgärda gapen och lägg planen för IG2-åtgärderna.

NIS2 är inte ett IT-projekt. Det är styrning, teknik och kultur i kombination, och ansvaret ligger hos ledningen.

Det vanligaste misstaget

Att vänta på exakta föreskrifter eller på att tillsynen ska börja. Allt ovan höjer er säkerhet oavsett hur detaljkraven landar, och den som börjar nu slipper göra två års arbete på sex månader. Vill du ha grunderna i direktivet först? Läs vår introduktion till NIS2 och nya cybersäkerhetslagen. Vill ni ha hjälp att mappa NIS2 mot CIS Controls och bygga er roadmap hjälper vi gärna till.

NIS2 is here. Between 2024 and 2026, requirements are tightening for Swedish municipalities, municipal companies and businesses providing essential services. The question is no longer whether you are covered. The question is whether you can show that you are in control.

What NIS2 actually requires

NIS2 brings clearer requirements on risk management, incident reporting with a first warning within 24 hours, supplier governance and real management accountability. Management can no longer delegate the issue away: they must approve the security programme, follow it up and understand the risks.

A firewall and antivirus are no longer enough. You must be able to demonstrate systematic security work, with documentation that stands up to scrutiny.

Why CIS Controls is the right tool

There is no shortage of frameworks. What makes CIS Controls practically useful is that the measures are concrete and prioritised. They are organised into implementation groups: IG1 is basic cyber hygiene that every organisation can manage, IG2 builds on it for organisations with more sensitive data and higher demands. For most Swedish SMBs and municipalities, IG1–IG2 is a realistic level that also covers most of what NIS2 asks for.

Five measures that lift you quickly

MFA and strict access control. Stops the most common way in: stolen credentials.
Continuous vulnerability management and patching. Known holes should be found and closed continuously, not in annual one-offs.
Centralised logging and monitoring. Without logs you can neither detect an incident nor report it within 24 hours.
Tested backup and recovery. A backup that has never been tested is an assumption, not a protection.
A clear incident process. Who does what, in what order, and who reports to the authority?

A 12-month roadmap

Quarter 1 – baseline and buy-in. Inventory systems, data and suppliers. Run a gap analysis against IG1. Anchor the work with management, with clear ownership and budget.

Quarter 2 – core protection. Roll out MFA everywhere, clean up access rights, establish patch routines and make sure backups are taken, kept separate from production and actually tested.

Quarter 3 – detection and response. Centralise logging, establish monitoring and build the incident process with the 24-hour report as a requirement. Start putting security requirements on suppliers in contracts.

Quarter 4 – prove it. Run an exercise playing through an incident from detection to report. Review the documentation, fix the gaps and plan the IG2 measures.

NIS2 is not an IT project. It is governance, technology and culture combined, and accountability sits with management.

The most common mistake

Waiting for exact regulations or for supervision to begin. Everything above raises your security regardless of how the detailed requirements land, and those who start now avoid doing two years of work in six months. Want the basics of the directive first? Read our introduction to NIS2 and the new cyber security law. If you would like help mapping NIS2 to CIS Controls and building your roadmap, we are happy to assist.

Vanliga frågorFAQ

Frågor om NIS2 och CIS ControlsQuestions about NIS2 and CIS Controls

Omfattas vårt företag av NIS2?Is our company covered by NIS2?

NIS2 täcker betydligt fler sektorer än tidigare: bland annat energi, transport, hälso- och sjukvård, digital infrastruktur, avfallshantering, livsmedel och tillverkning av kritiska produkter. Huvudregeln är verksamheter med minst 50 anställda eller 10 miljoner euro i omsättning, men kraven sprider sig nedåt i leverantörskedjan när större kunder börjar ställa dem i avtal. Är ni osäkra är en omfattningsbedömning några timmars arbete — gör den nu i stället för att gissa.NIS2 covers far more sectors than before: energy, transport, healthcare, digital infrastructure, waste management, food and manufacturing of critical products, among others. The main rule is organisations with at least 50 employees or 10 million euro in turnover, but the requirements spread down the supply chain as larger customers start writing them into contracts. If you are unsure, a scoping assessment takes a few hours — do it now instead of guessing.

Vad är skillnaden mellan IG1 och IG2 i CIS Controls?What is the difference between IG1 and IG2 in CIS Controls?

IG1 är grundläggande cyberhygien: ett femtiotal konkreta åtgärder som i princip alla organisationer bör klara, till exempel MFA, patchning, backup och inventering. IG2 bygger vidare med åtgärder för verksamheter som hanterar känsligare data och har högre krav på tillgänglighet, som mer avancerad loggning och behörighetsstyrning. Börja alltid med IG1 och bygg uppåt.IG1 is basic cyber hygiene: around fifty concrete measures that essentially every organisation should manage, such as MFA, patching, backups and inventory. IG2 builds on it with measures for organisations handling more sensitive data and higher availability requirements, such as more advanced logging and access control. Always start with IG1 and build upwards.

Hur lång tid tar det att bli redo för NIS2?How long does it take to get ready for NIS2?

Med tydligt ägarskap och ledningens stöd når de flesta svenska SMB och kommuner en granskningsbar nivå på ungefär tolv månader, enligt kvartalsplanen i artikeln: nuläge, grundskydd, upptäckt och respons, och till sist en övning som bevisar att det fungerar. Att börja nu är viktigare än att börja perfekt.With clear ownership and management backing, most Swedish SMBs and municipalities reach an audit-ready level in roughly twelve months, following the quarterly plan in the article: baseline, core protection, detection and response, and finally an exercise that proves it works. Starting now matters more than starting perfectly.

Läs vidareRead next

3D-illustration: NIS2 och cybersäkerhetslagen

RegelefterlevnadCompliance7 min

NIS2 och nya cybersäkerhetslagen: vad svenska företag behöver vetaNIS2 and the new cyber security law: what Swedish companies need to know

RegelefterlevnadCompliance6 min

NIS2 i praktiken: bygg er roadmap med CIS ControlsNIS2 in practice: build your roadmap with CIS Controls

Vad NIS2 faktiskt kräver

Varför CIS Controls är rätt verktyg

Fem åtgärder som lyfter er snabbt

En 12-månaders roadmap

Det vanligaste misstaget

What NIS2 actually requires

Why CIS Controls is the right tool

Five measures that lift you quickly

A 12-month roadmap

The most common mistake

Frågor om NIS2 och CIS ControlsQuestions about NIS2 and CIS Controls

NIS2 och nya cybersäkerhetslagen: vad svenska företag behöver vetaNIS2 and the new cyber security law: what Swedish companies need to know

Leverantörsrisk: er säkerhet är bara så stark som er svagaste partnerSupplier risk: your security is only as strong as your weakest partner