Blogg

NIS2 Artikel 21.2 c:

Kontinuitet är nödgeneratorn du måste provköra.

Jag har en särskild relation till nödgeneratorer. Inte för att de är charmiga, utan för att de är ärliga. De gör inget väsen av sig i vardagen. De står där, tysta. Men om strömmen går vill du inte upptäcka att de bara fanns i inköpsordern. Du vill veta att de startar. Att bränslet räcker. Att någon kan sköta dem.

För mig är artikel 21.2 c i NIS2 just det. En nödgenerator för verksamheten. Den handlar om driftskontinuitet, säkerhetskopiering, katastrofåterställning och krishantering. Alltså: att viktiga tjänster kan fortsätta eller komma tillbaka snabbt när det smäller.

Robert Willborg

Co-founder och Cheif Security Officer på OneMore Secure.

Vad säger NIS2 egentligen

Artikel 21.1 sätter ramen. Åtgärderna ska vara lämpliga och proportionerliga. De ska hantera risker i nätverk och informationssystem och minska påverkan av incidenter. I den ramen listar artikel 21.2 tio områden. Punkt c är affärskontinuitet, som uttryckligen omfattar säkerhetskopiering, katastrofhantering samt krishantering (European Union, 2022).

Svensk tillämpning: Cybersäkerhetslagen

I Sverige trädde Cybersäkerhetslagen (2025:1506) och Cybersäkerhetsförordningen (2025:1507) i kraft den 15 januari 2026. Det betyder att NIS2 inte längre är en framtidsdiskussion. Det är ett faktiskt kravspår i tillsyn och uppföljning (Sveriges riksdag, 2025a; Sveriges riksdag, 2025b; Regeringen, 2026).

En viktig saklighet: NIS2 är cyberfokuserad men kontinuitet är tvärgående

Här vill jag vara saklig. NIS2 är ett cybersäkerhetsdirektiv. Det är inte ett all hazards regelverk i samma mening som CER. Men cyberincidenter leder ofta till driftstopp som beter sig som vilken kris som helst. Därför blir kontinuitet tvärgående i praktiken. Om en kritisk tjänst faller, spelar det mindre roll om orsaken var en sårbarhet, en felaktig uppdatering eller en leverantör som försvann från radarn. Tjänsten måste upp igen.

Vad artikel 21.2 c betyder i praktiken

Jag tolkar 21.2 c som en förväntan om bevisbar återhämtning. Inte perfektion. Men en tydlig plan som går att genomföra, och som är testad. Det handlar om fyra saker som hänger ihop, utan att bli en egen pappersindustri.

Först driftskontinuitet. Det är sättet ni bestämmer vilka tjänster som måste fortsätta, hur länge ni kan vara utan dem, och vilka manuella arbetssätt som gäller under tiden. Det är den delen som brukar avslöja om ledningen faktiskt känner sin verksamhet.

Sedan säkerhetskopiering. Backup är inte en fil på en disk. Backup är ett löfte om återställning. Det löftet måste provas. Regelbundet. Och ni måste veta vad som ingår: kritisk data, kritiska system och beroenden.

Tredje delen är katastrofåterställning. Det är hur ni får upp tjänster när något större händer. Det kan vara allt från en krypteringsattack till en större driftstörning. Det kräver ordning på prioriteringar, åtkomster, och en plan som fungerar även när ni är stressade.

Fjärde delen är krishantering. Den delen missförstås ofta. Krishantering är inte en pressrelease. Det är beslutsvägar, kontaktpunkter och kommunikation som är övad. Det är också här NIS2 möter verkligheten: människor behöver veta vem som säger vad, till vem, och när.

Den vanligaste fällan: en plan som är för smart

Jag ser ofta kontinuitetsplaner som är för komplexa. De är imponerande på ritbordet. Men de faller i skarpt läge. En tumregel: om planen kräver att tre personer ska vara på samma plats med perfekt minne, då är den en dröm. I en incident är människor trötta, någon är borta och leverantören svarar ‘efter lunch’. Därför måste planen vara enkel. Den ska tåla en dålig dag.

Hur 21.2 c hänger ihop med resten av artikel 21

Kontinuitet hänger ihop med allt. Riskanalys och policys (21.2 a) avgör vad ni prioriterar. Incidenthantering (21.2 b) avgör hur snabbt ni kommer in i rätt spår. Leverantörskedjan (21.2 d) avgör om ni får insyn och stöd i tid. Sårbarhetshantering och säker utveckling (21.2 e) avgör hur ofta ni hamnar i återställningsläge. Och effektivitetskontroller (21.2 f) avgör om ni kan visa att allt detta fungerar (European Union, 2022; ENISA, 2025).

Tre förslag som är enkla men hårda

Jag lovar att hålla mig till tre saker. De är enkla att säga. Men de kräver disciplin. Och de ligger helt i linje med artikel 21.2 c.

· Provkör återställning på tid.

· Prioritera tjänster, inte system.

· Öva kris som vardag.

Provkör återställning på tid betyder att ni mäter hur lång tid det faktiskt tar att få upp det viktigaste. Inte vad ni hoppas. Prioritera tjänster, inte system betyder att ni styr efter vad verksamheten levererar. Det är där konsekvensen sitter. Öva kris som vardag betyder att ni gör små övningar ofta. Det bygger muskelminne. Och muskelminne är vad som räddar en organisation när allt går fort.

Slutkläm

Artikel 21.2 c är inte ett krav på att aldrig få problem. Det är ett krav på att ni ska kunna komma tillbaka. Kontinuitet är nödgeneratorn. Den ger inte glamour. Den ger drift. Och i en digital värld är drift ofta samma sak som förtroende.