Blogg

NIS2 Artikel 21.2 i:

Nyckelkortet: personal, åtkomst och tillgångar utan att bli misstänksam på heltid.

Jag brukar använda en enkel bild när jag pratar om artikel 21.2 i. Tänk ett nyckelkort. Det är inte där för att vi misstror alla. Det är där för att verksamheten måste fungera, även när en människa gör fel, när någon slutar i affekt eller när en obehörig försöker ta sig in.

NIS2 punkt i handlar om tre saker som hänger ihop: personalsäkerhet, åtkomstkontroll och tillgångsförvaltning. Det är lätt att göra detta till en listfest av verktyg och rutiner. Men poängen är egentligen enklare: rätt person ska ha rätt åtkomst till rätt saker, och bara så länge det behövs.

Robert Willborg

Co-founder och Cheif Security Officer på OneMore Secure.

Vad punkt i faktiskt säger

Artikel 21.2 listar tio områden (a till j). Punkt i rör personalsäkerhet, policyer för åtkomstkontroll och tillgångsförvaltning. Det är viktigt att läsa punkt i tillsammans med artikel 21.1 om proportionalitet: åtgärderna ska vara lämpliga och proportionerliga och minska effekten av incidenter. Direktivet säger inte exakt hur en bakgrundskontroll ska se ut eller vilket system ni ska köpa. Det säger att ni måste ha policys och rutiner som fungerar och går att visa (European Union, 2022).

Svensk tillämpning: från EU-text till tillsyn

I Sverige genomförs NIS2 genom Cybersäkerhetslagen (2025:1506) och Cybersäkerhetsförordningen (2025:1507), som trädde i kraft den 15 januari 2026. Det gör personalsäkerhet och åtkomstfrågor till en del av en faktisk kravbild för de verksamhetsutövare som omfattas (Sveriges riksdag, 2025a; Sveriges riksdag, 2025b; Regeringen, 2026).

Personalsäkerhet: sakligt utan paranoia

Jag vill vara försiktig här. Personalsäkerhet betyder inte att alla ska behandlas som misstänkta. Det betyder att roller med hög tillit också kräver genomtänkt kontroll. Det handlar om att minska risken för insiderhändelser, både avsiktliga och oavsiktliga.

Det kan innebära bakgrundskontroller i vissa roller, men det måste göras lagligt, proportionerligt och med respekt för integritet. Sverige har dessutom andra regelverk som kan bli relevanta beroende på sektor, till exempel säkerhetsskyddslagstiftning för säkerhetskänslig verksamhet. NIS2 ger inte en fri biljett att samla in ‘allt’. Den kräver att ni kan visa att ni hanterar personrelaterad risk på ett moget sätt.

Åtkomstkontroll: minst privilegium är inte en slogan

Åtkomstkontroll betyder att bara behöriga får komma åt det de behöver. Principen om minst privilegium är enkel: ge minsta möjliga åtkomst som krävs för jobbet. Men den blir lätt en slogan om man inte har rutiner för onboarding, rollbyten och avslut.

Det är här jag ofta ser att risk blir onödigt dyr. Folk får ‘tillfälliga’ behörigheter som blir permanenta. Gamla konton blir kvar. Administrativa rättigheter sprids som konfetti. Och när något händer vet ingen riktigt vem som hade nyckelkortet.

Tillgångsförvaltning: du kan inte skydda det du inte ser

Tillgångsförvaltning låter byråkratiskt, men är i grunden överblick. Vilka system, enheter, mjukvaror och data har vi, var finns de, och vad är kritiskt.

Om ni saknar inventering blir allt annat svårt: patchning, loggning, segmentering, backup och incidentarbete. Därför hänger tillgångsförvaltning ihop med resten av artikel 21.2. Det är kartan innan ni börjar navigera.

Den vanliga fällan: att punkt i blir ett inköp

Det är frestande att göra punkt i till en produktfråga: köp ett Identity and Access Management system och ‘bocka av’. Men NIS2 kräver inte ett visst verktyg. Den kräver fungerande rutiner och att ni kan visa att de ger effekt.

Ett dyrt system utan disciplin blir en dyr illusion. Ett enklare system med tydliga rutiner kan ge bättre kontroll. Det här är proportionalitet i praktiken.

Tre saker som gör nyckelkortet verkligt

Jag håller mig till tre saker som är enkla att förstå och som brukar ge stor effekt.

· Roller före behörigheter.

· Avslut är en process.

· Inventera och klassificera.

Roller före behörigheter betyder att ni definierar vad en roll behöver och knyter åtkomst till rollen, inte till personen. Det minskar specialfall.

Avslut är en process betyder att ni har en check som faktiskt görs när någon byter roll, slutar eller får nya ansvarsområden. Det är där de stora luckorna ofta finns.

Inventera och klassificera betyder att ni har en uppdaterad översikt över tillgångar och vad som är kritiskt. Då kan ni prioritera skydd där konsekvensen är störst.

Slutkläm

Artikel 21.2 i är inte till för att göra organisationer kalla och misstänksamma. Den är till för att göra dem robusta. När nyckelkortet fungerar behöver ni inte lita på tur. Ni kan lita på processen.

Och när någon frågar om ni har kontroll blir svaret inte en policy i en mapp. Svaret blir vardag: rätt person, rätt åtkomst, rätt tillgångar, i rätt tid.