Det finns två sorters organisationer. Den första möter nya regler med en reflex:”Vi behöver ett nytt dokument”. Den andra möter dem med en fråga:”Vilken förmåga behöver vi faktiskt ha och hur visar vi den?”
Det här är en artikel om hur små och medelstora verksamheter (SME) kan flytta sig från kategori 1 till kategori 2, utan att drunkna i pärmar, mallar och aldrig sinande dokumentation som samlar digitalt damm. Och ja: vi ska prata GDPR och NIS2/cybersäkerhetslagen men på ett sätt som inte skapar illusionen att de går att “blanda ihop juridiskt” vilket jag faktiskt stött på nu en gång för mycket. För det går inte. Och det ska vi inte ens försöka. Däremot går det utmärkt att göra något mer praktiskt (och mer innovativt): att återanvända samma verklighet, samma styrning och samma evidens och låta varje regelverk dra sina egna juridiska slutsatser från samma fakta.
Det är skillnaden mellan:
“Ett dokument som låtsas täcka allt”(papperstiger i ulvakläder), och
“En evidensryggrad som gör att alla dokument blir kortare, tydligare och mer sanna från ett allriskperspektiv.”
Varför blir “mer lag” lätt “mindre säkerhet”
NIS2-direktivet/cybersäkerhetslagen är riskbaserat och proportionerligt. Det säger rent ut att kraven ska vara proportionerliga och att man ska undvika en oproportionerlig finansiell och administrativ börda (European Parliament and Council of the European Union, 2022, recital 81). Det är alltså inte tänkt som “skapa fler pärmar”, utan “bygg bättre motståndskraft”. Men då svenskar är OS-guldmedaljörer i byråkrati och dokumentation så finns här risker som måste adresseras.
I svensk kontext har regeringen föreslagit en ny cybersäkerhetslag för att genomföra NIS2, med krav på åtgärder för att skydda nätverks- och informationssystem och rapportera betydande incidenter (Regeringen, 2025/26). Problemet är att verksamheter ofta möter detta genom en dokumentationsstrategi som kan beskrivas med en metafor:
Man bygger en ny våning ovanpå ett hus med sprickor och hoppas att ingen tittar i grunden.
GDPR har redan lärt oss att dokumentation inte är “extra” utan en del av efterlevnaden. Den bör i alla fall ha gjort det. GDPR kräver att personuppgiftsincidenter dokumenteras så att tillsyn kan verifiera efterlevnad (European Parliament and Council of the European Union, 2016, art. 33(5)). Och säkerhet i GDPR handlar uttryckligen om resiliens, återställningsförmåga och testning (European Parliament and Council of the European Union, 2016, art. 32(1)(b)–(d)).
Så när NIS2/cybersäkerhetslagen kommer in, är risken att man gör dubbla versioner av samma resonemang, fast i två olika mallar. Och plötsligt är det dokumenten som tar all energi, inte cyberhygienen i praktiken.
Det är här jag vill vända på steken för dig som läsare.
Den enkla vägen: en evidensryggrad, flera perspektiv
Här är min tes. GDPR och NIS2/cybersäkerhetslagen är två separata regelverk som lätt kan skapa huvudbry för verksamheter men som faktiskt ofta ställer delvis överlappande frågor om förmågor. Bygg därför en gemensam evidensryggrad som svarar på frågorna, och låt sedan varje regelverk få sin egen “wrapper” i stället för otaliga byråkratiska dokumentationsprocesser.
Det är i mening frågan om tre byggblock.
1) Assurance Pack: “visa hur ni tänkt” med bevis, inte prosa
Kalla det “Assurance Pack”, “Evidensryggrad” eller “Sanningsmappen” (sistnämnda kan ge konflikter i organisationer med starka åsikter, men är pedagogiskt). Poängen är att du slutar skriva långa dokument som försöker beskriva allt, och i stället skapar en strukturerad samling av:
beslut(vad ni prioriterar och varför, kanske till och med baserat på sårbarhetsanlayser,
förmågor(vad ni faktiskt kan göra),
evidens(hur ni visar att det är sant).
Det här är inte fluff. ENISA:s tekniska vägledning (icke-bindande, men tungt saklig) bygger exakt på samma idé: den ger “exempel på evidens” och visar att en och samma evidensbit kan stödja flera krav (ENISA, 2025). Den är också tydlig med att det vore en “mycket strikt” tillsynsmodell att krävaallevidens som listas, och att organisationer kan använda alternativ evidens (ENISA, 2025).
Det här är din innovationsnyckel enligt min mening:
Evidens är återanvändbar. Dokumenttext är sällan det.
Och här finns en viktig, ofta missad juridisk koppling: GDPR kräver att biträden har “tillräckliga garantier” och att behandlingen styrs av avtal med specifika krav (European Parliament and Council of the European Union, 2016, art. 28(1), 28(3)). Vad är en ‘garanti’ i praktiken? Något som både kan avtalas och styrkas genom styrning och evidens (t.ex. tester, kontroller och granskningar). Det är också ofta här många argument kring överföring och annat har gått vilse. Vad du spekulerar kring och vad du kan garantera genom evidens. Assurance Pack blir alltså motorn som gör att både GDPR- och NIS2-frågor kan besvaras utan ny dokumentproduktion varje gång.
2) SSA: lägg säkerhet där den hör hemma, i ett generellt säkerhets- och resiliensschema
Om man vill förenkla dokumentation och samtidigt höja faktisk motståndskraft hjälper det att ge cyberhygienen en egen, tydlig hemvist i avtalsstrukturen: en plats där krav på säkerhet och resiliens uttrycks konsekvent – oavsett vilken typ av leverantörsrelation det gäller.
Det är här en SSA (Supplier Security & Resilience Schedule) gör jobbet. Tänk på SSA som ett “kontraktsspråk” för de förmågor som faktiskt spelar roll i vardagen: incidentförmåga, återställning och kontinuitet, sårbarhetshantering, åtkomststyrning, loggning och spårbarhet, samt styrning av leverantörskedjan. NIS2 pekar ut just sådana riskhanteringsåtgärder och supply chain-perspektivet som centrala (European Parliament and Council of the European Union, 2022, art. 21).
SSA:n är inte en magisk “compliance-knapp”. Den är något mer användbart: en standardiserad krav- och evidensram som går att återanvända i upphandling, leverantörsuppföljning och intern styrning. För att hålla det proportionerligt kan SSA:n delas i nivåer: en baslinje för alla och ett fördjupat tillägg för kritiska leverantörer. Den gör att ni slipper uppfinna samma krav i ny form varje gång någon frågar “hur säkrar ni kontinuitet?” eller “hur vet ni att leverantörsledet håller?”. Och den knyter snyggt ihop med ert Assurance Pack: SSA beskrivervadsom ska vara sant, Assurance Pack visarattdet är sant.
Det är ofta här förenklingen blir verklig: i stället för fler dokument får ni en tydlig baslinje som kan återanvändas och uppdateras över tid, utan att ni bygger nya pärmar för varje nytt lagrum.
3) Gör dokumentation till en biprodukt av drift
Här är den svåraste delen att göra, men den som ger mest effekt.
Om dokumentation kräver “extra projekt”, blir det alltid en pappersdrake. Om dokumentation däremot blir avgaserna från hur ni jobbar, blir det en del av cyberhygien-DNA. GDPR art. 32 ger dig faktiskt en utmärkt mall för vad som ska bli “drift-evidens”: resiliens, återställning, testning (European Parliament and Council of the European Union, 2016, art. 32(1)).
NIS2 art. 21 beskriver en bred uppsättning riskhanteringsåtgärder (incidenthantering, kontinuitet, supply chain, säker utveckling, m.m.) och det är samma typ av “förmågor i drift” (European Parliament and Council of the European Union, 2022, art. 21).
Så i stället för att skriva “vi har backup” skapar ni rytmer som genererar bevis:
återställningstest bevisas i protokoll
incidentövning bevisas genom lärdomar och förbättringsplan
leverantörsändring kopplas till risk- och sårbarhetsbedömning som ger beslut
sårbarhetshantering skapartydligt ticket-flöde
Det här är innovation i praktiken: compliance som side effect, inte huvudsyfte.
Fiktivt case: “Pärmar & Panik AB” hittar en väg ut ur PDF-Jenga
Pärmar & Panik AB (P&P) är ett mellanstort svenskt IT-bolag som levererarmanaged ITtill små kommuner och industriföretag: Microsoft 365, identitet, klienthantering, EDR, backup, samt “när allt brinner”-jour. De är alltså inte bara en leverantör, de är i praktiken kundernas cybernervsystem.
När cybersäkerhetslagen/NIS2 börjar närma sig händer tre saker samtidigt (som i en klassisk svensk thriller, fast med fler Teams-möten):
Kunderna börjar ställa nya frågor i upphandlingar – inte för att de vill vara jobbiga, utan för att deras egna risk- och styrkrav skärps: “Hur jobbar ni med incidentförmåga?”, “Hur snabbt kan ni återställa?”, “Hur styr ni era underleverantörer?”, “Vad händer om er EDR-leverantör blir komprometterad?”
Leverantörskedjan har vuxit i det tysta. P&P har fler beroenden än de minns: molnplattform, fjärrstyrningsverktyg, logghantering, backup-leverantör, identitetstjänster, ticketing, underkonsulter vid större incidenter. Var och en tillsammans blir en kedja där en enda länk kan bli en hel roman.
Deras dokumentation är “inte fel”… men den är inte hanterbar. De har policys. De har avtal. De har bilagor. Men när de får den där frågan: “visa hur ni tänkt” blir svaret ofta: “Vänta, jag ska bara hitta rätt version.”
Och här kommer vändningen. P&P inser att de står inför ett val:
Antingen bygger de den svenska dokumentationsdraken: en ny pärm för cybersäkerhetslagen, en ny pärm för varje kund, ett nytt annex för varje leverantör.
Eller så gör de något mer innovativt: de gör dokumentation till en produkt och säkerhet till DNA.
De väljer det senare.
Steg 1: De bygger ett Assurance Pack (en evidensryggrad)
Inte som en lång rapport, utan som en strukturerad “karta” över hur de arbetar:
Styrning & beslut: vad ledningen godkänt och varför
Riskbild & prioriteringar: hot, konsekvens, riskacceptans
Förmågor: incidenthantering, återställning/DR, loggning, sårbarhet, åtkomst, förändringshantering
Leverantörskedja: kritiska beroenden, krav, uppföljning, förändringar
Evidens: restore-test, incidentövningar, change logs, leverantörsbedömningar, post-incident reviews
Poängen är inte att “ha allt”. Poängen är att kunna svara lugnt: “Det här är hur vi tänker. Det här är vad vi gör. Och här är bevisen.”
Steg 2: De inför SSA, ett gemensamt “kontraktsspråk” för cyberhygien och resiliens
I stället för att skriva säkerhetskrav på olika sätt i varje avtal skapar de en SSA (Supplier Security & Resilience Schedule) som de återanvänder i kundavtal och leverantörsavtal. SSA:n beskriver samma kärna incidentförmåga, kontinuitet, loggning, åtkomst, sårbarheter, leverantörskedja, och framför allt: hur det ska kunna styrkas.
Assurance Pack blir evidensbiblioteket som SSA pekar mot.
Steg 3: De gör dokumentation till biprodukt av drift
Det sista steget är det vackraste (och mest provocerande för dokumentationsdraken): P&P slutar “skriva dokument” som ett separat projekt. Det fungerar bäst när grundprocesserna finns på plats: ett tydligt incidentflöde, förändringshantering och ansvar.
De inför drift-ritualer som automatiskt skapar spår:
kvartalsvisa återställningstester → protokoll
incidentövningar → förbättringsplan
leverantörsändringar → riskbedömning + beslut
patch- och sårbarhetsflöden → tickets + rapport
Så när nästa kund frågar “hur ser er motståndskraft ut?” kan P&P svara utan att starta ett nytt Word-dokument. De exporterar helt enkelt sanningen de redan lever. Och här kommer payoffen: Upphandlingarna blir inte “lättare för att kraven försvinner”, utan för att P&P har gjort kraven begripliga, återanvändbara och bevisbara.
Det är inte byråkrati. Det är ingenjörskonst.
Det viktigaste budskapet till SME: mindre text, mer struktur
Om du tar med dig en sak från den här artikeln, låt det vara detta: NIS2/cybersäkerhetslagen ska inte skapa nya dokumentuniversum. Den ska skapa bättre förmågor via en bättre evidensryggrad.
NIS2 själv pekar mot att minska administrativ börda och t.o.m. använda en “single entry point” som kan hjälpa vid incidentrapportering, även när annan lagstiftning (som GDPR) kräver parallell rapportering utan att påverka GDPR:s regler (European Parliament and Council of the European Union, 2022, recital 106–107).
Det är nästan som att EU säger: “Snälla, bygg system. Inte pärmar.”
Och ENISA säger i praktiken: “Evidens kan återanvändas, ni måste inte producera allt, och en evidensbit kan stödja flera krav.” (ENISA, 2025). Det här är exakt din tes men nu helt utan sammanblandningsrisk.
Avslutning: dokumentationsdraken dör av… design
Det finns ett gammalt misstag i regelefterlevnad: att tro att dokumentation är ett mål. Det är det inte. Det är ett bevismedel. Så gör det lätt:
Bygg Assurance Pack: fakta, beslut, förmågor, evidens.
Sätt SSA i avtal: en plats för säkerhet och resilienskrav för alla leverantörer.
Låt DPA vara DPA: hänvisa till SSA för säkerhet, håll biträdeskraven rena.
Gör evidens i drift: testa, öva, logga och låt spåren bli dokumentationen.
Det är inte mer byråkrati. Det är bättre ingenjörskonst. Och om någon ändå säger “vi behöver ett dokument till”, kan ni svara med ett vänligt leende:
“Vi kan absolut skriva ett till. Men vill ni ha text eller vill ni ha bevis?”
Referenser
ENISA. (2025).
Technical implementation guidance on cybersecurity risk-management measures (Version 1.0, June 2025).
European Union Agency for Cybersecurity.
European Parliament and Council of the European Union. (2016).Regulation (EU) 2016/679 (General Data Protection Regulation).EUR-Lex.
European Parliament and Council of the European Union. (2022).Directive (EU) 2022/2555 (NIS2).EUR-Lex.
Regeringen. (2025/26).Prop. 2025/26:28: Ett starkt skydd för nätverks- och informationssystem – en ny cybersäkerhetslag.
