Blogg

NIS2 Artikel 21.2 h:

Nyckelskåpet: när kryptografi är rutin, inte magi.

Jag brukar beskriva kryptografi som ett nyckelskåp. Inte som ett dramatiskt kassavalv i en actionfilm, utan som den där ganska tråkiga, men livsviktiga, lådan där verksamheten förvarar sina nycklar. Om nycklarna ligger huller om buller, om någon kopierar dem på egen hand, eller om ingen vet vem som har vilken nyckel, då spelar det mindre roll hur dyr dörren var. Den kan fortfarande öppnas.

NIS2 artikel 21.2 h handlar om just detta: att organisationen ska ha policys och rutiner för hur kryptografi och, där det är lämpligt, kryptering används. Det är inte en uppmaning att “kryptera allt alltid”. Det är ett krav på kontroll, omdöme och spårbarhet.

Robert Willborg

Co-founder och Cheif Security Officer på OneMore Secure.

Vad punkt h faktiskt säger

Artikel 21.2 listar tio områden (a till j) som ska täckas av riskhanteringsåtgärder. Punkt h rör policys och procedurer för användning av kryptografi och, där det är lämpligt, kryptering. Det betyder att NIS2 inte föreskriver en specifik algoritm eller produkt. Den kräver att ni kan visa att ni använder kryptografi på ett sätt som är proportionerligt mot risk och konsekvens.

Svensk tillämpning: från EU-text till tillsyn

I Sverige genomförs NIS2 genom Cybersäkerhetslagen (2025:1506) och Cybersäkerhetsförordningen (2025:1507), som trädde i kraft den 15 januari 2026. Det gör kryptografifrågan till en praktisk del av kravbilden för de verksamhetsutövare som omfattas. Det är inte längre ett framtida “vi borde”, utan något som ska kunna visas i arbete och bevis.

En saklighet: kryptografi, kryptering och signering är inte samma sak

Jag ser ofta att begreppen blandas ihop, så låt mig göra det enkelt.

Kryptografi är paraplyet: metoder för att skydda information matematiskt.
Kryptering är en del av kryptografi: den gör innehållet oläsligt utan rätt nyckel.
Digital signering är en annan del: den hjälper oss veta vem som skapade något och om det har ändrats på vägen.

I praktiken behöver de ofta hänga ihop. Men det är olika verktyg i nyckelskåpet.

Varför punkt h blir affärsnära

Kryptografi blir snabbt en förtroendefråga. När data rör sig mellan parter, när leverantörer kopplas in och när fjärråtkomst används, är frågan inte om någon “vill” sno data. Frågan är om ni har gjort det svårt nog, och om ni kan bevisa det.

Det här kopplar direkt till flera andra punkter i artikel 21.2: åtkomstkontroll och tillgångshantering (i), stark autentisering (j), leverantörskedjan (d) och kontinuitet (c). Kryptografi är sällan en isolerad teknikfråga. Den är en del av hur ni bygger tillit i hela kedjan.

Dataskydd och GDPR: vad som är sant, och vad som ofta överdrivs

Här vill jag vara tydlig och saklig. Dataskyddsförordningen (General Data Protection Regulation, GDPR) säger inte att all persondata alltid måste vara krypterad i vila och under överföring. Däremot anger GDPR att man ska införa lämpliga tekniska och organisatoriska åtgärder, och kryptering nämns som ett exempel på en sådan åtgärd när det är relevant. Med andra ord: kryptering är ofta klokt, ibland nödvändigt, men det är fortfarande risk och kontext som styr.

Det här passar väl ihop med NIS2-tänk: proportionalitet och effekt, inte reflexer.

Den vanligaste misslyckandet: nyckelhantering

Jag har sett organisationer göra “allt rätt” på papper och ändå falla på nycklarna. Nyckelhantering är den tråkiga verkligheten bakom all kryptografi: vem skapar nycklar, var lagras de, vem har åtkomst, hur roterar vi dem, vad händer när någon slutar, och hur upptäcker vi att något gått fel.

Om nycklar hanteras odisciplinerat är kryptografi mest en säkerhetskänsla. Nyckelskåpet är öppet.

Tre saker som gör punkt h verklig

Jag håller mig till tre saker som är enkla att förstå, svåra att fuska med och i linje med punkt h.

· Klassificera data och flöden.

· Styr nycklar som åtkomst.

· Följ upp och rotera nycklar.

Klassificera data och flöden betyder att ni vet vad som är känsligt och var det rör sig. Då kan ni välja rätt skyddsnivå.

Styr nycklar som åtkomst betyder att ni behandlar kryptonycklar som de mest privilegierade rättigheter ni har. Minsta möjliga åtkomst, tydliga ägare och spårbarhet.

Följ upp och rotera nycklar betyder att ni har en rutin för rotation, återkallelse och kontroll, och att ni testar att det fungerar. Precis som man testar att nyckelskåpet faktiskt går att låsa.

Slutkläm

Artikel 21.2 h är inte ett krav på kryptografisk perfektion. Det är ett krav på ordning i nyckelskåpet. När kryptografi blir rutin, inte magi, händer något viktigt: tillit blir lättare att skapa och svårare att förlora. Och i en digital värld är tillit ofta samma sak som affärsförmåga.