Logga in
Blogg

Luftvärdighet för det digitala samhället 

NIS2 är inte pärm-VM. Det är luftvärdighet för våra digitala samhällstjänster. I denna artikeln förklarar jag varför direktivet måste läsas som ett funktionskrav: Kan vi flyga säkert i vardagen, landa i turbulens och snabbt upp igen? Jag delar vad som triggade mig och reder ut vad NIS2 egentligen kräver och varför vi riskerar hamna fel om vi gör det till en checklista. Fokus: ledningens ansvar, leverantörskedjan och tid som förmåga (24/72/30), mätt med enkla men hårda utfallsmål.

Kort sagt: Sluta mäta manualer. Börja bevisa bärförmåga.
Robert Willborg

Co-founder och Cheif Security Officer på OneMore Secure. 

NIS2 vill att vi flyger säkert, inte fyller i papper. 

Tanken kring ämnet i denna artikel kom till mig stegvis, men tog verklig form när jag var mentor till en juriststudent och när jag föreläste för systemvetare vid Lunds universitet började något skava. Jag såg hur NIS2 ofta lästes som om den hade ett facit i slutet: hitta paragraferna, bocka rutor, “bli klar”. Samtidigt kom frågor från ledningar som handlade mer om hur man kan undvika sanktioner än hur man säkrar leveransförmågan när det faktiskt skakar. Min oro växte till ett orosmoln: om vi läser en ändamålslag som en checklista, bygger vi då verkligen förmåga eller producerar vi bara papper? Det är den frågan som driver den här texten.

Den stora bilden och varför metaforen spelar en avgörande roll

Flygvärdinnan visar nödanvisningarna. Kaptenen hälsar välkommen. Alla kan rutinen. Men innerst inne bryr sig ingen om hur väl inplastad manualen är passageraren vill veta om planet är luftvärdigt: rätt besättning, servad maskin, fungerande rutiner, provade nödprocedurer. NIS2 är just detta för våra kritiska digitala tjänster. Det är inte en tävling i att ha flest pärmar; det är ett bevis på förmåga. Klarar ni att flyga säkert i vardagen, landa säkert i turbulens och snabbt komma upp i luften igen när något går sönder? Det är kärnan. (European Union, 2022).

Vad NIS2 egentligen är (och inte är)

NIS2 kom inte till för att rita en ny karta över tekniska komponenter. Detta nu är superviktigt. Den kom till för att hantera tre samtidiga misslyckanden i Europa. De kan enkelt beskrivas som gränsöverskridande beroenden som mötte ojämn säkerhetsförmåga, att hotbilden försköts till statsstödda och mer systemiska angrepp, och slutligen en uppsjö av frivilliga rekommendationer som fick motsatt effekt styrelserummet. Resultatet av det sista var att styrelser inte prioriterade säkerhet utan tydligt ansvar, säkerhet var ju en kostnad och inte en investering. Just därför flyttar NIS2 fokus uppåt i styrningen och utåt mot helheten. Den reglerar förmågor, processer och ansvar, inte specifika verktyg. (European Union, 2022).

Detta syns i språk och struktur: öppna normer som “skälig säkerhetsnivå”, “lämpliga och proportionerliga åtgärder” och “utan onödigt dröjsmål” (art. 20–23). Det är inte slarv, det är en teleologisk konstruktion. I EU-rätten väger ändamålet tungt: tillsynen kommer i praktiken fråga om ni uppnådde lagens syfte, inte bara om ni prickat varje formulering på millimetern (European Union, 2022; Tridimas, 1997).

Översatt till flyg: NIS2 vill se luftvärdighet, att människor, processer, teknik och leverantörer fungerar tillsammans i verkligheten, under stress, över tid.

Varför NIS2 riskerar att hamna fel just nu

Och är kommer min oro och trigger till att jag skrev denna artikel. Juristers tolkningar av NSI2 är skrämmande i majoriteten av fallen. Inte för att de saknar kompetens eller utbildning. Nej, för att de analyserar och närmar sig detta lagrum rättsdogmatiskt och inte dokumentsanalytiskt. Dessa olika ansatser ger risken i att lagrummet hamnar fel och att styrelse och ledning helt missar målet och tror att det är ännu en lag, ännu en kostnad snarare än verklig säkerhet och en verklig investering. Riskerna består i:

1) Pappers-luftvärdighet. Vi optimerar dokument i stället för utförande. Men NIS2 bryr sig i grunden om utfall: upptäcka, begränsa, återställa och rapportera i tid (24 h / 72 h / 30 d). (European Union, 2022).

2) Juridik utan systemsyn. Svensk juristutbildning har en stark rättsdogmatisk tradition vilken utmärkt när normerna är precisa. Men NIS2 är medvetet öppen och ändamålsstyrd. Juridiken ska allokera ansvar och möjliggöra tillsyn; förmågan skapas i samspelet mellan kritikalitet, beroenden, kultur och beslut under osäkerhet (Karlstads universitet, 2025; Tridimas, 1997).

3) Individfokus i stället för verksamhetsansvar. Individen utför, men det är verksamheten som ansvarar. I ett flygplan får passageraren gärna vara alert, men bolaget säkrar underhåll, rutiner, simulatorpass och mandat. Därför skall fönsterjalusin på ett flygplan vara öppet under start och landning. Samma logik gäller faktiskt i NIS2 och cybersäkerhetslagen: individens beteende är en del av förmågan, aldrig en ersättning för den. Individen är också en sensor och en väsentlig del i verksamheten. Och det är faktiskt rätt uppenbart varför vi behöver tänka om.

Verkligheten som stresstest: data och case

  • Kedjorna: ENISA visar hur angrepp via leverantörskedjor blivit vanligare och mer sofistikerade ett strukturellt problem, inte en avvikelse (ENISA, 2021). MOVEit-kedjan blev ett skolexempel: en sårbar komponent gav massivt spill-over och visade att styrning av externa “verkstäder” (avtal, patchregimer, loggning, behörigheter) är lika avgörande som den egna brandväggen (Emsisoft, 2024).

  • Människan: DBIR 2024 bedömer att cirka 68 % av intrång involverar en mänsklig komponent (phishing, felkonfig, misstag), och att tredjeparts-påverkan är en växande vektor (Verizon, 2024). Slutsatsen är inte “skäll mer” utan bygg rätt standardläge och träna.

  • Systemförmåga trumfar manualer: Angreppet mot Ukrainas elnät 2015 blev en lektion i att det som räddar dagen är kombinationen av teknik, process och människor, inklusive möjligheten att köra manuellt och återställa snabbt (E-ISAC & SANS, 2016).

Hur NIS2 ska översättas i ledningsrummet (luftvärdighets-språk)

  • Art. 20 (ledning): Kaptenen och bolaget äger avvägningarna och resultaten. Ansvar kan inte outsourcas. (European Union, 2022).

  • Art. 21 (riskåtgärder): Visa att just er kombination av tekniska och organisatoriska åtgärder ger säker flygning i er miljö, inklusive verkstäder utanför hangaren (leverantörer). (European Union, 2022; European Commission, 2024).

  • Art. 23 (24/72/30): Gör tiden till muskelminne, rapportvägar, roller och evidenskedja måste sitta. (European Union, 2022).

(Lätt humor, med eftertanke: Ingen kapten har någonsin räddat ett plan med en perfekt ifylld manual. Det var övningen och tidsdisciplinen som gjorde det.)

Därför går det fel i praktiken (och hur det blir rätt)

Feldesign 1: Kompilera policies.

Man mäter pärmar. NIS2 mäter bärförmåga. Byt till utfalls-metrik som styrelsen följer kvartalsvis: återställningstid för kritiska tjänster, patch-latens, MFA-täckning, logg-täckning och 24/72/30-disciplin. (Verizon, 2024).

Feldesign 2: Blind leverantörskedja.

Avtal utan rätt att granska loggar, utan tidsbegränsade behörigheter, utan sårbarhets-SLA eller “kill switch” är som att låta okänd verkstad skruva i flygplanet. Bygg kedje-luftvärdighetkräv, kontrollera, och prova. (ENISA, 2021).

Feldesign 3: Juridik som facit.

Rättsdogmatik fungerar när normerna är statiska. Här är de öppna och framåtriktade och ändamålet styr. Tillsynen kommer fråga om ni uppnådde syftet med rimliga, proportionella val (Tridimas, 1997; European Union, 2022).

Feldesign 4: Tillsyn som formaliajakt.

Att jaga tidiga anmärkningar i stället för att lyfta baslinjen skapar fel incitament. Starta med att etablera en godkänd luftvärdighets-baslinje och skruva upp kraven genom praxis. (European Union, 2022; European Commission, 2024).

“Levande ram” och 2024/2690: därför blir NIS2 tydligare med tiden

Men jag tror att jag behöver fortsätta övertyga vissa läsare om vad jag försöker få fram.

Kommissionens genomförandeförordning (EU) 2024/2690 preciserar riskmetodik och trösklar, särskilt för utpekade digitala infrastrukturtjänster, vilket bekräftar NIS2-logiken: lagen sätter målet, sekundärrätt och tillsyn fyller verktygslådan över tid (European Commission, 2024). Vi behöver alltså inte “säga allt” dag ett; vi behöver visa att vi bär och förbättra oss kvartal för kvartal.

Slutord

Det här började som ett orosmoln i magen när jag såg NIS2 reduceras till papperskontroll och hur verksamheter genom sina jurister började som bäst i fel ände. I sämsta fall var det att stoppa huvudet i sanden och ”det där berör inte oss”. Jag är säker på att många tänkt om men många står fortfarande att få med på banan. NIS2 är inte byggd för att vi ska vinna pärm-VM. Den är byggd för att vi ska flyga säkert: i vardagen, i turbulens, och upp igen när något brister. Den som läser bokstav hittar krav; den som läser ändamål bygger förmåga. Därför är standarder, normer och ramverk en bra grund men långt ifrån lösningen. Säkerhet är nämligen inget du har, det är något du gör.

Referenser

Primärkällor

European Commission. (2024).Commission Implementing Regulation (EU) 2024/2690.EUR-Lex.

European Union. (2022).Directive (EU) 2022/2555 (NIS2).Official Journal L 333.

Analys & rapporter

E-ISAC & SANS. (2016).Analysis of the Cyber Attack on the Ukrainian Power Grid.

ENISA. (2021).Threat Landscape for Supply Chain Attacks.

Emsisoft. (2024).Unpacking the MOVEit breach: statistics and analysis.

Verizon. (2024).Data Breach Investigations Report (DBIR 2024).

Metod/teleologi

Karlstads universitet. (2025, 21 feb).Rättsdogmatiken fortsatt stark visar ny studie.

Tridimas, T. (1997).The Court of Justice and judicial activism.In P. Craig & G. de Búrca (Eds.), The Evolution of EU Law. Oxford University Press.(Exempel på teleologisk tolkningskultur i EU-rätten.)

Robert Willborg

Digital suveränitet 

Digital suveränitet handlar inte om geografi utan kontroll

Robert Willborg

Från osäkerhetsekonomi till förtroende

En berättelse om en bransch som tappade kompassen.

Robert Willborg

EU Data Act

När EU bygger “nödutgångar” i era datakorridorer (och ingen har läst skyltarna än).

Robert Willborg

När cybersäkerhet blir “riskteater”

Hur vi byter ut sminket mot faktisk motståndskraft.