Logga in
Blogg

NIS2 Artikel 21.2 g:

Grundläggande cyberhygien: kökshygien som gör att gästerna vågar äta.

Jag har alltid gillat en enkel sanning från restaurangvärlden. Du kan ha den mest kreativa menyn i stan, men om hygienrutinerna i köket brister spelar det ingen roll. Gästerna kommer inte tillbaka. Och till slut är det inte smaken som avgör, utan tilliten.

Artikel 21.2 g i NIS2 är just det. Grundläggande cyberhygien och utbildning. Inte som ett gulligt komplement, utan som en baslinje. För utan baslinje blir varje ny satsning bara mer att städa upp efteråt.
Robert Willborg

Co-founder och Cheif Security Officer på OneMore Secure. 

Vad punkt g faktiskt säger

NIS2 artikel 21.2 listar tio områden (a till j) som ska täckas av riskhanteringsåtgärder. Punkt g handlar om grundläggande cyberhygienpraxis och utbildning i cybersäkerhet. Det är viktigt att läsa den i ljuset av artikel 21.1: åtgärderna ska vara proportionerliga och minska påverkan av incidenter. Punkt g är med andra ord ett krav på att den mänskliga vardagen ska bli en del av riskreduktionen, inte en sårbarhet som man skyller på när det går fel (European Union, 2022).

En saklighet: NIS2 säger inte exakt vilka moment som är ‘hygien’

Här blir det lätt att gå vilse. Direktivet säger inte i punktform exakt vilka hygienrutiner ni måste ha. Det är medvetet. NIS2 bygger på proportionalitet och risk. Men EU:s cybersäkerhetsbyrå ENISA har tagit fram teknisk implementeringsvägledning som konkretiserar vad riskhanteringsåtgärder ofta innebär i praktiken, inklusive utbildning, åtkomstkontroll, patchning, loggning och återställning som baslinje (ENISA, 2025).

Svensk tillämpning: varför det här nu hamnar på ledningsbordet

I Sverige genomförs NIS2 genom Cybersäkerhetslagen (2025:1506), som trädde i kraft den 15 januari 2026 (Sveriges riksdag, 2025a). Myndigheten för civilt försvar beskriver att lagen skärper kraven och att fler organisationer omfattas, bland annat med tydligare krav på riskanalyser och säkerhetsåtgärder (Myndigheten för civilt försvar, 2026). Det gör cyberhygien till mer än en kampanj. Det blir en del av hur verksamheten ska kunna visa efterlevnad och förmåga.

Vad cyberhygien betyder i vardagen

Jag gillar att hålla cyberhygien praktiskt. Det är inte ‘allt vi borde göra’. Det är de få beteenden och rutiner som, om de sitter, tar bort en stor del av de mest vanliga och dyra misstagen.

I köket handlar hygien om att göra rätt saker varje dag: rena händer, rätt temperatur, rena ytor. I digital vardag blir motsvarigheten ofta: stark inloggning, uppdaterade system, och en vana att upptäcka avvikelser tidigt. Det är inte glamour. Det är drift och förtroende.

Den obekväma poängen: cyberhygien är kollektiv, inte hobby

Här vill jag vara tydlig. Cyberhygien utförs av individer, men är inte ett individuellt projekt. Det är en verksamhetsförmåga. Om ni kräver att människor ska vara perfekta i ett system som är stressigt, otydligt och fullt av undantag, då bygger ni in fel. NIS2 flyttar därför fokus från ‘människan som svag länk’ till organisationen som ansvarig miljö. Punkt g är, på sitt stillsamma sätt, ett krav på att organisationen ska göra det lätt att göra rätt.

Tre saker som brukar vara den verkliga baslinjen

Jag håller mig till tre saker, för att inte förvandla hygien till en lista som ingen orkar. Det här är inte ‘alla krav i NIS2’. Det är ett sätt att göra punkt g levande och mätbar.

·       Gör säkra val enklast.

·       Mät efterlevnad i drift.

·       Träna kort och ofta.

Gör säkra val enklast betyder att ni minskar friktion kring rätt beteende. Om flerfaktorautentisering är jobbigast för de mest pressade, kommer den att kringgås. Mät efterlevnad i drift betyder att ni följer täckning och avvikelser, inte bara skickar ut påminnelser. Träna kort och ofta betyder att utbildning blir en rutin, inte en årlig föreläsning som ingen minns när det väl händer.

Slutkläm

Artikel 21.2 g är inte den mest spektakulära punkten i NIS2. Den är värre än så. Den är vardaglig. Och det är just därför den fungerar.

Säkerhet som håller över tid byggs inte bara i arkitektur och avtal. Den byggs i vanor. Som kökshygien: ingen applåderar när den fungerar. Men alla märker när den inte gör det.

Referenser

ENISA. (2025). Technical implementation guidance on cybersecurity risk management measures (Version 1.0). European Union Agency for Cybersecurity.

European Union. (2022). Directive (EU) 2022/2555 (NIS2). Official Journal of the European Union, L 333.

Myndigheten för civilt försvar. (2026). Det här är cybersäkerhetslagen (NIS2). https://www.mcf.se/

Sveriges riksdag. (2025a). Cybersäkerhetslag (2025:1506). Svensk författningssamling.

NIS2 Artikel 20:

När kaptenen inte får lämna bryggan.          

Gå till artikeln

NIS2 Artikel 21.2 a: 

När riskanalys blir brandskydd, inte pärm.

Gå till artikeln

NIS2 Artikel 21.2 b: 

Incidenthantering som fungerar när det blåser.

Gå till artikeln

NIS2 Artikel 21.2 c: 

Kontinuitet är nödgeneratorn du måste provköra.

Gå till artikeln

NIS2 Artikel 21.2 d: 

Leverantörskedjan är en kylkedja, inte en inköpslista.                    

Gå till artikeln

NIS2 Artikel 21.2 e: 

Säkerhet i inköp och utveckling: bygg låset innan du flyttar in.

Gå till artikeln

NIS2 Artikel 21.2 f: 

Testknappen på brandvarnaren: när säkerhet måste bevisas, inte antas.

Gå till artikeln

NIS2 Artikel 21.2 g: 

Grundläggande cyberhygien: kökshygien för att gästerna vågar äta

Gå till artikeln

NIS2 Artikel 21.2 h: 

Nyckelskåpet: när kryptografi är rutin, inte magi

Gå till artikeln

NIS2 Artikel 21.2 i: 

Nyckelkortet: personal, åtkomst och tillgångar 

Gå till artikeln

NIS2 Artikel 21.2 j: 

Entrédörren: stark autentisering utan lösenordspanik

Gå till artikeln

NIS2 Artikel 23: 

När larmkedjan måste fungera, inte bara på väggen

Gå till artikeln
Tillbaka till bloggsidan