Blogg

NIS2 Artikel 21.2 a:

När riskanalys blir brandskydd, inte pärm.

Jag har läst många riskdokument som är snygga som brandinstruktionen i ett trapphus. Du vet den som sitter i en ram, alltid i perfekt skick, och som ingen läser förrän det luktar rök. NIS2 vill i grunden samma sak som ett bra brandskydd. Inte fler papper. Det vill att vi förstår var det kan brinna, varför det kan brinna, och att vi kan släcka i tid. Artikel 21.2 a är startnyckeln i det arbetet.

I Sverige gäller Cybersäkerhetslagen från den 15 januari 2026 och ersätter den tidigare NIS1 lagen (Sveriges riksdag, 2025a; Regeringen, 2026). NIS2 använder inte längre NIS1 begreppen om operatörer av samhällsviktiga tjänster och digitala tjänster. I stället talar direktivet om väsentliga enheter och viktiga enheter (European Union, 2022).

Robert Willborg

Co-founder och Cheif Security Officer på OneMore Secure.

Vad artikel 21 faktiskt kräver

Artikel 21.1 anger grundprincipen. Åtgärderna ska vara lämpliga och proportionerliga. De ska hantera risker i nätverk och informationssystem och minska konsekvensen av incidenter. Direktivet säger också att man ska beakta teknisk utveckling och relevanta standarder samt kostnaden för införandet (European Union, 2022).

Artikel 21.2 listar tio områden från a till j. Punkt a är policys för riskanalys och för säkerhet i informationssystem. Det är med andra ord brandskyddets grund. Utan den policyn får du lätt antingen överreaktion, där allt blir dyrt och trögt, eller underreaktion, där man upptäcker riskerna när det redan brinner (European Union, 2022).

Vad artikel 21.2 a betyder i praktiken

Jag tolkar artikel 21.2 a som en enkel men obekväm förväntan. Ni ska kunna visa att ni har ett sätt att arbeta med risk som fungerar i vardagen. Inte ett dokument som finns. Ett arbetssätt som används. Det ska gå att följa från risk till beslut och från beslut till bevis.

För vissa typer av enheter har EU dessutom preciserat tekniska och metodmässiga krav i en genomförandeförordning. Den pekar på att det inte räcker med policy för riskanalys. Det behövs också policy för säkerhet i informationssystem och ett ramverk som hålls uppdaterat och används (European Commission, 2024).

Vilka omfattas och vad betyder storlek

En vanlig missuppfattning är att NIS2 gäller alla. Det gör den inte. NIS2 har en storlekslogik där mikro och små företag normalt faller utanför, men undantag finns om enheten anses särskilt kritisk eller uppfyller särskilda kriterier (European Union, 2022). I Sverige får man därför börja med att avgöra om man är en verksamhetsutövare som omfattas av Cybersäkerhetslagen och vilken sektor och tillsyn som gäller (Sveriges riksdag, 2025a; Sveriges riksdag, 2025b).

Så undviker du compliance teater

Här kommer min visionära men jordnära del. Jag tror att artikel 21.2 a kan bli en hävstång för konkurrenskraft om vi slutar behandla risk som en textgenre. Risk är egentligen en fråga om omdöme, tempo och förmåga. Det vi behöver är ett brandskydd som gör det enklare att fatta bra beslut snabbt. Inte en pärm som kräver en ny pärm.

För mig blir det extra tydligt när jag ser hur modern reglering rör sig. Cybersäkerhetslagen gör ledningen mer ansvarig för risk och uppföljning (Myndigheten för civilt försvar, 2026). I finans gäller dessutom Digital Operational Resilience Act som kan ha företräde för incidentrapportering i vissa delar, vilket visar att vi måste förstå hur regelverken samspelar i praktiken (Finansinspektionen, 2026).

Tre förslag som håller sig på rätt sida av lagen

Jag lovar att inte sälja fler dokument här. Men jag vågar säga tre saker som brukar ge effekt och som passar in i artikel 21.2 a utan att hitta på nya krav.

Mät risk som beslutstempo.
Öva risk som beteende.
Visa risk som bevis.

Mät risk som beslutstempo betyder att ni följer hur snabbt ni kan gå från observation till beslut när något förändras. Öva risk som beteende betyder att ni testar era antaganden i små övningar, inte bara i årsrevisionen. Visa risk som bevis betyder att ni kan peka på konkreta spår av arbetet. Till exempel att riskbedömningar leder till prioriteringar, att prioriteringar leder till åtgärder, och att åtgärder leder till mätbara förbättringar.

Slutkläm

Jag tror att digital motståndskraft i Europa inte byggs av fler ord. Den byggs av förmåga. Artikel 21.2 a är en chans att göra riskhantering till ett praktiskt brandskydd. När den policyn fungerar blir resten enklare. Då kan ni också prata med leverantörer, ledning och tillsyn på samma språk. Inte juridik för juridikens skull, utan kontroll för verksamhetens skull.

Referenser

European Commission. (2024). Commission Implementing Regulation (EU) 2024/2690 laying down technical and methodological requirements… (Annex). EUR Lex.

European Union. (2022). Directive (EU) 2022/2555 (NIS2). Official Journal of the European Union, L 333.

Finansinspektionen. (2026). Det här gäller för nya cybersäkerhetslagen. https://www.fi.se/

Myndigheten för civilt försvar. (2026). Cybersäkerhetslagen för ledningen. https://www.mcf.se/

Regeringen. (2026). Nu skärps kraven på svensk cybersäkerhet (pressmeddelande 15 januari 2026). https://www.regeringen.se/

Sveriges riksdag. (2025a). Cybersäkerhetslag (2025:1506). Svensk författningssamling.

Sveriges riksdag. (2025b). Cybersäkerhetsförordning (2025:1507). Svensk författningssamling.