Logga in
Blogg

NIS2 Artikel 21.2 b:

Incidenthantering som fungerar när det blåser. 

Jag har sett incidentplaner som är så snygga att de borde få en egen hylla. Problemet är att incidenter sällan bryr sig om hyllor. De kommer när någon är sjuk, när leverantören är “upptagen”, och när organisationen redan är trött. Det är därför NIS2 artikel 21.2 b är viktig. Den kräver inte perfektion. Den kräver ett sätt att hantera incidenter som faktiskt fungerar i verkligheten.
Robert Willborg

Co-founder och Cheif Security Officer på OneMore Secure. 

Vad betyder incident och incidenthantering enligt NIS2

NIS2 är ovanligt tydlig med definitionerna. En incident är en händelse som komprometterar tillgänglighet, autenticitet, riktighet eller konfidentialitet hos data eller de tjänster som erbjuds via nätverks- och informationssystem. Incidenthantering är alla åtgärder och procedurer som syftar till att förebygga, upptäcka, analysera och begränsa, eller att svara på och återhämta sig från en incident (European Union, 2022).

Det som ofta blir fel: att förväxla artikel 21 och artikel 23

Här finns en vanlig sammanblandning. Artikel 21.2 b handlar om förmågan att hantera incidenter. De så kallade rapporteringsklockorna (tidig varning inom 24 timmar, anmälan inom 72 timmar och slutrapport inom 30 dagar) ligger i artikel 23. Det betyder inte att artikel 21 och 23 är separata öar. Tvärtom: en incidentprocess som inte klarar klockorna är sällan en fungerande incidentprocess. Men det är juridiskt korrekt att säga att 21.2 b handlar om incidenthantering och att 23 handlar om rapportering (European Union, 2022).

Svensk tillämpning: Cybersäkerhetslagen

I Sverige trädde Cybersäkerhetslagen (2025:1506) i kraft den 15 januari 2026 och ersatte NIS1-lagen (Sveriges riksdag, 2025). Lagen bygger på NIS2 och innebär att omfattade verksamhetsutövare ska ha riskhanteringsåtgärder på plats, där incidenthantering är en central del. Myndigheten för civilt försvar beskriver att lagen skärper kraven på riskanalyser och säkerhetsåtgärder och att ledningens deltagande får större tyngd (Myndigheten för civilt försvar, 2026).

Vad artikel 21.2 b kräver i praktiken

Jag tolkar kravet så här: ni ska kunna visa att ni har en repeterbar, övad och lärande process för incidenter. Inte bara ett dokument. En process. Och den processen behöver täcka hela kedjan: från upptäckt, via triage och begränsning, till återställning och lärdomar. Om ni vill ha en enkel tumregel: det som inte övas och mäts finns inte.

För att hålla oss på rätt sida av både saklighet och pedagogik använder jag tre ord som alla kan förstå: upptäcka, isolera, återställa. Om de tre orden fungerar i praktiken brukar resten falla på plats.

Hur artikel 21.2 b kopplar till övriga delar i artikel 21

Incidenthantering står inte ensam. Den hänger ihop med flera andra punkter i artikel 21.2. Kontinuitet och krishantering (21.2 c) avgör hur snabbt ni kan få upp tjänster igen. Säkerhet i leverantörskedjan (21.2 d) avgör om ni ens får rätt information i tid. Sårbarhetshantering och säker utveckling (21.2 e) avgör hur ofta ni hamnar i incidenter. Effektivitetskontroll (21.2 f) avgör om ni kan visa att åtgärderna fungerar. Utbildning (21.2 g) avgör om människor agerar rätt när stressen kommer (European Union, 2022).

Risk med att ‘överimplementera’

En sak jag vill vara tydlig med. Incidenthantering blir ibland en verktygsdiskussion: ‘Vi måste ha SIEM’, ‘vi måste ha ett stort SOC’, ‘vi måste köpa X’. Det kan vara rätt för vissa. Men NIS2 kräver inte ett specifikt verktyg. Det kräver proportionerliga åtgärder som fungerar. Om ni bygger en incidentprocess som är så tung att den aldrig används, då har ni i praktiken byggt en ny sårbarhet.

Tre förslag som brukar ge effekt

Jag håller mig till tre förslag som är konsekventa med artikel 21.2 b och som kan införas utan att skapa en pappersfabrik.

·       Öva upptäckt, isolering, återställning.

·       Mät tider, inte texter.

·       Bygg lärdom in i drift.

Öva betyder att ni kör små, realistiska scenarier och testar kontaktvägar, beslutsfattande och tekniska steg. Mät tider betyder att ni följer tid till upptäckt och tid till återställning, samt hur länge kritiska tjänster är nere. Lärdom i drift betyder att varje incident ger konkreta åtgärder och att de faktiskt genomförs och följs upp. Det är så ni går från compliance till förmåga.

Slutkläm

Artikel 21.2 b är inte ett krav på att aldrig bli angripen. Det är ett krav på att ni ska kunna hantera verkligheten. Om ni kan visa att ni upptäcker, isolerar och återställer och att ni lär av det som händer, då är ni i praktiken på rätt väg. När det väl smäller är det inte policyn som räddar er. Det är muskelminnet.

Referenser

European Union. (2022). Directive (EU) 2022/2555 (NIS2). Official Journal of the European Union, L 333.

Myndigheten för civilt försvar. (2026). Det här är cybersäkerhetslagen. https://www.mcf.se/

Sveriges riksdag. (2025). Cybersäkerhetslag (2025:1506). Svensk författningssamling.

NIS2 Artikel 20:

När kaptenen inte får lämna bryggan.          

Gå till artikeln

NIS2 Artikel 21.2 a: 

När riskanalys blir brandskydd, inte pärm.

Gå till artikeln

NIS2 Artikel 21.2 b: 

Incidenthantering som fungerar när det blåser.

Gå till artikeln

NIS2 Artikel 21.2 c: 

Kontinuitet är nödgeneratorn du måste provköra.

Gå till artikeln

NIS2 Artikel 21.2 d: 

Leverantörskedjan är en kylkedja, inte en inköpslista.                    

Gå till artikeln

NIS2 Artikel 21.2 e: 

Säkerhet i inköp och utveckling: bygg låset innan du flyttar in.

Gå till artikeln

NIS2 Artikel 21.2 f: 

Testknappen på brandvarnaren: när säkerhet måste bevisas, inte antas.

Gå till artikeln

NIS2 Artikel 21.2 g: 

Grundläggande cyberhygien: kökshygien för att gästerna vågar äta

Gå till artikeln

NIS2 Artikel 21.2 h: 

Nyckelskåpet: när kryptografi är rutin, inte magi

Gå till artikeln

NIS2 Artikel 21.2 i: 

Nyckelkortet: personal, åtkomst och tillgångar 

Gå till artikeln

NIS2 Artikel 21.2 j: 

Entrédörren: stark autentisering utan lösenordspanik

Gå till artikeln

NIS2 Artikel 23: 

När larmkedjan måste fungera, inte bara på väggen

Gå till artikeln
Tillbaka till bloggsidan