Blogg

NIS2 Artikel 21.2 j:

Entrédörren: stark autentisering utan lösenordspanik.

Jag brukar beskriva autentisering som entrédörren till verksamheten. Det spelar ingen roll hur fina larm ni har inne i huset om ytterdörren står på glänt. Och i en digital värld är ytterdörren ofta ett konto.

NIS2 artikel 21.2 j handlar om att göra entrén svårare att forcera: flerfaktorautentisering eller kontinuerlig autentisering. Det är inte en uppmaning att skapa lösenordspanik. Det är ett krav på rimlig styrka där konsekvensen är stor.

Robert Willborg

Co-founder och Cheif Security Officer på OneMore Secure.

Vad punkt j faktiskt säger

Artikel 21.2 listar tio områden (a till j). Punkt j rör användning av flerfaktorautentisering eller kontinuerlig autentisering, säkra röst-, video- och textkommunikationer samt, där det är lämpligt, säkra nödsamband inom enheten. Det betyder inte att NIS2 kräver en viss produkt, en viss biometrisk metod eller en viss längd på lösenord. Det betyder att ni ska använda stark autentisering på ett sätt som är proportionerligt och som minskar risken för obehörig åtkomst (European Union, 2022).

Svensk tillämpning: från EU-text till faktisk kravbild

I Sverige genomförs NIS2 genom Cybersäkerhetslagen (2025:1506) och Cybersäkerhetsförordningen (2025:1507), som trädde i kraft den 15 januari 2026. Det gör stark autentisering till en del av en faktisk kravbild, inte en rekommendation (Sveriges riksdag, 2025a; Sveriges riksdag, 2025b; Regeringen, 2026).

En saklighet: MFA är inte en silverkula

Flerfaktorautentisering (MFA) betyder att man använder minst två olika faktorer för att logga in. Det kan vara något du vet, något du har eller något du är. MFA minskar risken dramatiskt för att ett stulet lösenord räcker. Men MFA är inte magi. Om någon får kapat en session, lyckas med social manipulation eller kommer åt återställningsflöden kan skadan ändå ske. Därför måste MFA ses som en del av helheten i artikel 21, inte som ett ensamt trollspö.

Kontinuerlig autentisering: vad det är, utan fackflum

Kontinuerlig autentisering betyder att man inte bara ‘kollar vem du är’ vid inloggning, utan även under användning. Det kan handla om att systemet reagerar på avvikelser, som nya platser, ovanliga beteenden eller riskfyllda aktiviteter. I vardaglig svenska: dörren låser om någon plötsligt uppför sig som en annan person.

Det här kan vara relevant i högriskmiljöer, men ska också vara proportionerligt. För mycket friktion skapar kringgående, och då har vi byggt en ny sårbarhet.

Säkra kommunikationer och nödsamband: den glömda delen

Punkt j nämner också säkra röst-, video- och textkommunikationer och, där det är lämpligt, säkra nödsamband. Det här glöms ofta bort eftersom alla fastnar vid MFA. Men i en incident är kommunikation en livlina. Om era kanaler kan avlyssnas, kapas eller slås ut, blir återställning och krishantering svårare.

Det betyder inte att alla behöver specialsystem. Det betyder att ni måste ha tänkt igenom vilka kanaler som används när det är skarpt läge, och hur ni säkrar dem.

Den vanligaste fällan: MFA på användare men inte på administratörer

Det här är en klassiker. Man inför MFA för vanliga användare, men lämnar administrativa konton med svagare skydd för att det ‘är krångligt’. Det är som att sätta en säker dörr på entrén men lämna källardörren öppen.

Om ni vill börja rätt ska ni ofta börja med det som ger störst riskreduktion: fjärråtkomst och privilegierad åtkomst.

Tre förslag som ger effekt utan att skapa lösenordsteater

Jag håller mig till tre saker. De är enkla att förstå och brukar ge tydlig effekt, utan att jag hittar på krav som inte står i direktivet.

· MFA där konsekvensen är hög.

· Skydda återställning och support.

· Öva ‘stopp och spärr’ snabbt.

MFA där konsekvensen är hög betyder att ni prioriterar fjärråtkomst, administratörer och kritiska system först. Skydda återställning och support betyder att ni säkrar lösenordsåterställning, helpdesk-flöden och identitetsprocesser, för det är ofta där angripare tar genvägar. Öva ‘stopp och spärr’ snabbt betyder att ni vet hur ni spärrar konton och sessioner när ni ser misstänkt aktivitet, och att ni kan göra det utan att kaos uppstår.

Slutkläm

Artikel 21.2 j är entrédörren. Den handlar inte om att göra livet svårt för människor. Den handlar om att göra intrång svårt för angripare.

När stark autentisering och säkra kommunikationer är en rutin blir säkerhet mindre dramatisk. Då slipper ni både panik och teater. Ni får en dörr som faktiskt går att låsa.