Logga in
Blogg

NIS2 Artikel 21.2 f:

Testknappen på brandvarnaren: när säkerhet måste bevisas, inte antas.

Det finns en detalj i nästan varje hem som är både genial och pinsam: testknappen på brandvarnaren. Den tar en sekund att trycka på. Ändå gör många det aldrig. Inte av illvilja, utan för att vardagen rullar på.

Artikel 21.2 f i NIS2 är den testknappen. Den handlar om policys och rutiner för att bedöma om era cybersäkerhetsåtgärder faktiskt fungerar. Inte om ni har dem. Inte om ni planerar att göra dem. Utan om de ger effekt när det blåser.
Robert Willborg

Co-founder och Cheif Security Officer på OneMore Secure. 

Vad artikel 21.2 f faktiskt säger

NIS2 artikel 21.1 kräver att åtgärderna ska vara lämpliga och proportionerliga, hantera risker i nätverk och informationssystem och minska påverkan av incidenter. I artikel 21.2 listas områden som ska täckas. Punkt f handlar om policys och procedurer för att bedöma effektiviteten i cybersäkerhetsåtgärderna (European Union, 2022).

Svensk tillämpning: det är inte en EU-övning längre

I Sverige trädde Cybersäkerhetslagen (2025:1506) och Cybersäkerhetsförordningen (2025:1507) i kraft den 15 januari 2026. Det betyder att NIS2 nu är ett faktiskt tillsyns- och uppföljningsspår, inte ett framtida projekt (Sveriges riksdag, 2025a; Sveriges riksdag, 2025b; Regeringen, 2026).

Den vanligaste missuppfattningen: att 21.2 f betyder ‘gör penetrationstest’

Här vill jag vara saklig. 21.2 f säger inte att alla måste göra penetrationstester, införa ett Security Operations Center eller köpa en viss typ av verktyg. Den säger att ni måste kunna bedöma om era åtgärder fungerar.

Penetrationstest, sårbarhetsskanning, övningar, logggranskning och återställningstester kan vara bra sätt att göra det. Men vad som är rimligt beror på risk, storlek, sektor och konsekvens. Proportionalitet är ett genomgående krav i NIS2 (European Union, 2022).

Varför punkt f är den stora kulturförändringen

Det här är den obekväma sanningen: säkerhet som inte följs upp blir snabbt en berättelse. Det är lätt att producera dokument. Det är svårare att producera bevis.

21.2 f är ett krav på mognad i styrning. Det tvingar fram ett skifte från ‘vi har infört’ till ‘vi vet att det fungerar’. Och när ni väl mäter effekt börjar ni också se de riktiga kostnaderna: friktion, otydliga ägarskap och åtgärder som aldrig blev av.

Hur 21.2 f hänger ihop med resten av artikel 21

Effektbedömning är limmet mellan ambition och verklighet. Den hänger ihop med riskanalys (21.2 a), incidenthantering (21.2 b), kontinuitet (21.2 c), leverantörskedjan (21.2 d) och sårbarhetshantering i livscykeln (21.2 e). Utan punkt f kan ni göra ‘rätt saker’ på papper och ändå stå utan förmåga när det smäller (European Union, 2022; ENISA, 2025).

Tre sätt att trycka på testknappen, utan att bygga en pappersfabrik

Jag håller mig till tre förslag som är enkla att förklara, svåra att fuska med och fullt förenliga med 21.2 f.

·       Mät utfall med få tal.

·       Testa det viktigaste ofta.

·       Gör ägarskap synligt.

Mät utfall med få tal betyder att ni väljer några robusta mått som överlever budgetår och organisationsförändringar. Exempel är tid till upptäckt och återställning, patch-latens på kritiska sårbarheter, och bevisad återläsning.

Testa det viktigaste ofta betyder att ni prioriterar det som har störst konsekvens. Små återkommande tester slår stora engångsprojekt. Övning bygger muskelminne.

Gör ägarskap synligt betyder att varje avvikelse leder till en tydlig ägare, en tidsatt åtgärd och en återkontroll. Det är här ni går från kontroll som idé till kontroll som vardag.

En kort not om små verksamheter

NIS2 omfattar inte alla. Mikro och små företag är ofta undantagna, med vissa undantag om de är särskilt kritiska. Men även de som inte omfattas formellt möter ofta kraven indirekt via kunder och leverantörer. Och då blir punkt f fortfarande relevant: kunna visa att det man gör fungerar.

Slutkläm

Artikel 21.2 f är i grunden ett krav på hederlighet. Inte moralisk hederlighet, utan operativ. Antingen fungerar åtgärderna, eller så gör de det inte. Testknappen avslöjar det.

När ni väl bygger en vana att mäta och testa, händer något fint. Säkerhet slutar vara en kostnadspost som försvaras. Den blir en förmåga som bevisas. Och det är precis dit NIS2 vill ta oss.

Referenser

ENISA. (2025). Technical implementation guidance on cybersecurity risk management measures (Version 1.0). European Union Agency for Cybersecurity.

European Union. (2022). Directive (EU) 2022/2555 (NIS2). Official Journal of the European Union, L 333.

Regeringen. (2026). Cybersäkerhet: den nya cybersäkerhetslagen och cybersäkerhetsförordningen trädde i kraft 15 januari 2026.

Sveriges riksdag. (2025a). Cybersäkerhetslag (2025:1506). Svensk författningssamling.

Sveriges riksdag. (2025b). Cybersäkerhetsförordning (2025:1507). Svensk författningssamling.

NIS2 Artikel 20:

När kaptenen inte får lämna bryggan.          

Gå till artikeln

NIS2 Artikel 21.2 a: 

När riskanalys blir brandskydd, inte pärm.

Gå till artikeln

NIS2 Artikel 21.2 b: 

Incidenthantering som fungerar när det blåser.

Gå till artikeln

NIS2 Artikel 21.2 c: 

Kontinuitet är nödgeneratorn du måste provköra.

Gå till artikeln

NIS2 Artikel 21.2 d: 

Leverantörskedjan är en kylkedja, inte en inköpslista.                    

Gå till artikeln

NIS2 Artikel 21.2 e: 

Säkerhet i inköp och utveckling: bygg låset innan du flyttar in.

Gå till artikeln

NIS2 Artikel 21.2 f: 

Testknappen på brandvarnaren: när säkerhet måste bevisas, inte antas.

Gå till artikeln

NIS2 Artikel 21.2 g: 

Grundläggande cyberhygien: kökshygien för att gästerna vågar äta

Gå till artikeln

NIS2 Artikel 21.2 h: 

Nyckelskåpet: när kryptografi är rutin, inte magi

Gå till artikeln

NIS2 Artikel 21.2 i: 

Nyckelkortet: personal, åtkomst och tillgångar 

Gå till artikeln

NIS2 Artikel 21.2 j: 

Entrédörren: stark autentisering utan lösenordspanik

Gå till artikeln

NIS2 Artikel 23: 

När larmkedjan måste fungera, inte bara på väggen

Gå till artikeln
Tillbaka till bloggsidan