NIS2 & ISO 27001 Mappning
Detaljerad analys av hur ISO 27001 kan användas som grund för NIS2-efterlevnad, inklusive identifierade gap som kräver kompletterande åtgärder.
ISO 27001 täcker majoriteten av NIS2-kraven
Av 27 identifierade NIS2-krav kan 24 adresseras direkt genom ISO 27001:2022. Endast 2 områden kräver kompletterande åtgärder utöver standarden.
Organisationer med befintligt ISO 27001-certifierat ledningssystem har en stark grund för NIS2-efterlevnad, men bör fokusera på de identifierade gapen – särskilt myndighetens rapporteringskrav.
Detaljerad mappning
Tabellen visar hur NIS2-krav mappas mot ISO 27001:2022-klausuler och kontroller.
| NIS2 | Krav | ISO 27001 | Dokument | Status |
|---|---|---|---|---|
| Artikel 20.1 | Ledningsorgan måste godkänna cybersäkerhetsåtgärder | 6.1.3 Riskbehandling för informationssäkerhet | Riskbehandlingsplan | Full |
| Artikel 20.1 | Ledningsorgan måste övervaka implementering av åtgärder | 9.1 Övervakning, mätning, analys och utvärdering 9.2 Intern revision 9.3 Ledningens genomgång | Mätrapport, Internrevisionsrapport, Protokoll från ledningens genomgång | Full |
| Artikel 20.2 | Utbildningskrav för ledning och anställda | 7.2 Kompetens A.6.3 Medvetenhet, utbildning och träning | Utbildnings- och medvetenhetsplan | Full |
| Artikel 21.1 | Lämpliga tekniska, operativa och organisatoriska åtgärder | 6.1.3 Riskbehandling 6.2 Informationssäkerhetsmål 8.1 Operativ planering och styrning | Riskbehandlingstabell, Riskbehandlingsplan | Full |
| Artikel 21.1 | Proportionalitetsbedömning baserad på riskexponering | 6.1.2 Riskbedömning för informationssäkerhet | Riskbedömningsmetodik, Riskbedömningsmall | Full |
| Artikel 21.2(a) | Policy för riskanalys | 6.1.2 Riskbedömning för informationssäkerhet | Riskbedömningsmetodik | Full |
| Artikel 21.2(a) | Policy för informationssystemsäkerhet | 5.2 Policy | Informationssäkerhetspolicy | Full |
| Artikel 21.2(b) | Incidenthantering | A.5.24 Planering och förberedelse A.5.25 Bedömning och beslut A.5.26 Respons på incidenter | Incidenthanteringsprocedur, Incidentlogg | Full |
| Artikel 21.2(c) | Verksamhetskontinuitet | A.5.29 Informationssäkerhet vid störningar | Kontinuitetsplan | Full |
| Artikel 21.2(c) | Säkerhetskopiering | A.8.13 Säkerhetskopiering av information | Säkerhetskopieringspolicy | Full |
| Artikel 21.2(c) | Katastrofåterställning | A.5.30 IKT-beredskap för verksamhetskontinuitet A.8.14 Redundans | Katastrofåterställningsplan | Full |
| Artikel 21.2(c) | Krishantering | — | Krishanteringsplan (utöver ISO 27001) | Gap |
| Artikel 21.2(d) | Säkerhet i leveranskedjan | A.5.19–A.5.23 Leverantörsrelationer och molntjänster | Leverantörssäkerhetspolicy, Säkerhetsklausuler för leverantörer | Full |
| Artikel 21.2(e) | Säkerhet vid anskaffning, utveckling och underhåll | A.8.6–A.8.9, A.8.25–A.8.33 (Kapacitet, malware, sårbarheter, säker utveckling) | Policy för säker utveckling, Kravspecifikation | Full |
| Artikel 21.2(f) | Policyer och rutiner för att utvärdera åtgärdernas effektivitet | 9.1 Övervakning och mätning 9.2 Intern revision 9.3 Ledningens genomgång | Mätmetodik, Internrevisionsprocedur | Full |
| Artikel 21.2(g) | Grundläggande cyberhygien | A.6.8, A.7.7, A.7.9, A.7.10, A.8.1, A.8.5, A.8.7, A.8.13, A.8.19, A.8.24 | IT-säkerhetspolicy | Full |
| Artikel 21.2(g) | Cybersäkerhetsutbildning | 7.2 Kompetens A.6.3 Medvetenhet och utbildning | Utbildnings- och medvetenhetsplan | Full |
| Artikel 21.2(h) | Policyer för kryptering | A.8.24 Användning av kryptografi | Krypteringspolicy | Full |
| Artikel 21.2(i) | Personalsäkerhet | A.6.1–A.6.5 (Bakgrundskontroll, anställningsvillkor, utbildning, disciplin) | Personalsäkerhetspolicy | Full |
| Artikel 21.2(i) | Åtkomstkontrollpolicyer | A.5.15 Åtkomstkontroll | Åtkomstkontrollpolicy | Full |
| Artikel 21.2(i) | Tillgångshantering | A.5.9–A.5.11 (Inventering, acceptabel användning, återlämning) | Tillgångshanteringsprocedur, Tillgångsregister | Full |
| Artikel 21.2(j) | Flerfaktorsautentisering (MFA) | A.5.16 Identitetshantering A.5.17 Autentiseringsinformation A.8.5 Säker autentisering | Autentiseringspolicy | Full |
| Artikel 21.2(j) | Säkrad röst-, video- och textkommunikation | A.5.14 Informationsöverföring A.8.21 Säkerhet för nättjänster | Informationsöverföringspolicy, Säker kommunikationspolicy | Full |
| Artikel 21.2(j) | Säkrad nödkommunikation inom organisationen | A.8.20 Nätverkssäkerhet | Säker kommunikationspolicy (kräver utökning) | Delvis |
| Artikel 21.3 | Bedöma sårbarheter hos leverantörer och kvalitet på deras säkerhetspraxis | A.5.19, A.5.21–A.5.23 Leverantörshantering | Leverantörssäkerhetspolicy, Riskbedömningsrapport | Full |
| Artikel 21.4 | Vidta lämpliga korrigerande åtgärder | 10.2 Avvikelse och korrigerande åtgärd | Procedur för korrigerande åtgärder | Full |
| Artikel 23 | Rapporteringsskyldigheter (24h tidig varning, 72h incidentrapport) | — | Incidentrapporteringsprocedur för NIS2 (utöver ISO 27001) | Gap |
Ledningsorgan måste godkänna cybersäkerhetsåtgärder
Ledningsorgan måste övervaka implementering av åtgärder
Utbildningskrav för ledning och anställda
Lämpliga tekniska, operativa och organisatoriska åtgärder
Proportionalitetsbedömning baserad på riskexponering
Policy för riskanalys
Policy för informationssystemsäkerhet
Incidenthantering
Verksamhetskontinuitet
Säkerhetskopiering
Katastrofåterställning
Krishantering
Säkerhet i leveranskedjan
Säkerhet vid anskaffning, utveckling och underhåll
Policyer och rutiner för att utvärdera åtgärdernas effektivitet
Grundläggande cyberhygien
Cybersäkerhetsutbildning
Policyer för kryptering
Personalsäkerhet
Åtkomstkontrollpolicyer
Tillgångshantering
Flerfaktorsautentisering (MFA)
Säkrad röst-, video- och textkommunikation
Säkrad nödkommunikation inom organisationen
Bedöma sårbarheter hos leverantörer och kvalitet på deras säkerhetspraxis
Vidta lämpliga korrigerande åtgärder
Rapporteringsskyldigheter (24h tidig varning, 72h incidentrapport)
Gap som kräver extra åtgärder
Dessa områden täcks inte av ISO 27001 och måste hanteras separat för full NIS2-efterlevnad.
Krishantering
Artikel 21.2(c)NIS2 kräver explicit krishantering utöver verksamhetskontinuitet. ISO 27001 har ingen direkt motsvarighet för strategisk krishantering på organisationsnivå.
Implementera en separat krishanteringsplan som inkluderar kommunikationsstrategier, eskalationsprocedurer och beslutsfattande under kris.
Incidentrapportering till myndigheter
Artikel 23NIS2 har specifika tidsgränser för rapportering: 24 timmar för tidig varning, 72 timmar för incidentrapport, och 1 månad för slutrapport. ISO 27001 saknar dessa regulatoriska krav.
Etablera dedikerade processer och kontaktpunkter för rapportering till CSIRT och tillsynsmyndigheten. Integrera med befintlig incidenthantering.
Ledningens personliga ansvar
Artikel 20NIS2 ställer explicita krav på ledningens personliga ansvar för cybersäkerhet, inklusive utbildningskrav. ISO 27001 kräver ledningens engagemang men inte personligt ansvar.
Dokumentera ledningens roller och ansvar specifikt för NIS2. Säkerställ att ledningen genomgår cybersäkerhetsutbildning och kan visa på kompetens.
Säkrad nödkommunikation
Artikel 21.2(j)NIS2 kräver specifikt säkrade nödkommunikationssystem inom organisationen. ISO 27001 täcker nätverkssäkerhet generellt men inte specifikt nödkommunikation.
Implementera och testa säkra kommunikationskanaler för nödsituationer som fungerar oberoende av ordinarie infrastruktur.
Sektorspecifika krav
Nationell implementeringNIS2 kommer att kompletteras med sektorspecifika krav genom nationell lagstiftning och delegerade akter. Dessa finns inte i ISO 27001.
Bevaka MSB:s och tillsynsmyndigheternas vägledning för er sektor. Anpassa ledningssystemet efter sektorspecifika krav.
Registrering hos tillsynsmyndigheten
Artikel 3Organisationer omfattade av NIS2 måste registrera sig hos tillsynsmyndigheten. Detta är ett administrativt krav utan motsvarighet i ISO 27001.
Identifiera rätt tillsynsmyndighet för er verksamhet. Förbered registreringsunderlag inklusive kontaktuppgifter och verksamhetsbeskrivning.
Securapilot stödjer hela NIS2-efterlevnaden
Vår plattform är designad för att hantera både ISO 27001-baserade krav och de NIS2-specifika gapen.
GAP-analys
Automatiserad bedömning av er nuvarande mognadsnivå mot NIS2-kraven med prioriterade åtgärdsförslag.
Incidentrapportering
Inbyggt stöd för NIS2:s tidskrav med automatiska påminnelser för 24h och 72h-rapportering.
Riskhantering
ISO 27005-baserad riskhantering som uppfyller både ISO 27001 och NIS2-kraven.
Källor och referenser
NIS2-direktivet
Europaparlamentets och rådets direktiv (EU) 2022/2555 om åtgärder för en hög gemensam cybersäkerhetsnivå i hela unionen.
EUR-Lex: Direktiv (EU) 2022/2555ISO/IEC 27001:2022
Internationell standard för ledningssystem för informationssäkerhet (ISMS).
ISO.org: ISO/IEC 27001Svensk implementering
NIS2 implementeras i Sverige genom Cybersäkerhetslagen som träder i kraft 15 januari 2026.
MSB: NIS-direktivetAnsvarsfriskrivning: Mappningen på denna sida är baserad på vår analys av NIS2-direktivets krav och ISO 27001:2022-standarden. Den utgör inte juridisk rådgivning. Kontakta oss för specifik vägledning om er organisations efterlevnad.
Behöver ni hjälp med NIS2-efterlevnad?
Boka en timma kostnadsfri konsultation så hjälper vi er att identifiera gap och planera vägen till full efterlevnad.