Hur dokumenterar ni att er NIS2-compliance verkligen fungerar utan att spendera en förmögenhet på konsulter? Denna artikel ger er en konkret plan för att validera er NIS2-compliance själva, med gratis ramverk, automatiserad pentest och rätta verktyg.
NIS2-konsulter är dyra. Men ni behöver dem inte till allt.
Låt oss börja med elefanten i rummet: NIS2-compliance har blivit en guldgruva för konsultbranschen.
Gap-analyser för 150.000 kr. Compliance-roadmaps för 200.000 kr. Implementeringsprojekt som lätt löper upp till en halv miljon. Och då har vi inte ens börjat tala om den årliga pentesten för 250.000-400.000 kr.
För ett medelstort svenskt företag med 80 anställda och en IT-avdelning på 3-5 personer är det siffror som får budgeten att gnissla. Särskilt när styrelsen frågar: ”Vad får vi egentligen för pengarna?”
Här är sanningen: Ni kan själva göra en stor del av arbetet. Inte allt, men tillräckligt för att komma långt. Och tillräckligt för att de pengar ni spenderar på extern hjälp används rätt.
NIS2 compliance: Vad ni kan själva och vad som kräver hjälp
NIS2 trädde i kraft i Sverige 1 juli 2025. Artikel 21 definierar 10 områden som ert företag ska ha koll på, från riskanalys och incidenthantering till kryptografi och åtkomstkontroll. Men direktivet säger bara vad ni ska göra. Inte hur.
Det är här CIS 18 Critical Security Controls kommer in i bilden.
CIS 18 är ett internationellt, community-drivet ramverk med 153 konkreta säkerhetsåtgärder, så kallade safeguards, fördelade på 18 kontrollområden. Det är gratis, det är handlingsorienterat och CIS har själv gjort en officiell mappning till NIS2-direktivet.
Och det bästa: CIS 18 är designat för att skalas via Implementation Groups (IG):
- IG1: Små företag, begränsad IT (56 safeguards)
- IG2: Medelstora, reglerade företag (130 safeguards inkl. IG1)
- IG3: Stora företag med dedicerade säkerhetsteam (153 safeguards inkl. IG1+IG2)
IG1 är er essentiella cyberhygien, det minimum varje organisation bör ha på plats. IG2 lägger till det extra lager som typiskt är nödvändigt för att leva upp till NIS2:s krav på ”lämpliga och proportionella åtgärder.”
Det här kan ni själva:
- Gap-analys mot CIS 18 IG1/IG2. Gå igenom varje safeguard och bedöm: Har vi det? Delvis? Inte alls? Det kräver inte en konsult, det kräver en IT-chef som känner sin egen miljö.
- Implementering av grundläggande kontroller. De flesta IG1-safeguards handlar om saker som asset inventory, åtkomststyrning, MFA, backup-procedurer och säker konfiguration. Det är era system. Ni vet hur de ska konfigureras.
- Dokumentation av policyer. NIS2 kräver skriftliga policyer för riskanalys, incidenthantering och affärskontinuitet. Mallar finns online och den som känner verksamheten bäst är ni själva.
- Security awareness-träning. CIS Control 14 handlar om att träna era medarbetare. Det behöver inte kosta en förmögenhet, det finns bra plattformar från några hundra kronor per medarbetare per år.
Gratis NIS2 compliance resurser som ger er ett försprång
Ni behöver inte börja från noll. Här är de viktigaste gratis resurserna:
CIS 18 Controls Framework
Själva ramverket är gratis tillgängligt på cisecurity.org/controls. Ladda ner det, skriv ut det, gå igenom det med ert team. CIS har också publicerat en officiell mappning till NIS2, ett whitepaper som visar exakt vilka kontroller som täcker vilka NIS2-krav.
Sikkerdigitals NIS2-kontroll
På nis2tjek.sikkerdigital.dk kan ni kontrollera om ert företag överhuvudtaget omfattas av NIS2. Det tar 5 minuter. Börja här om ni är osäkra.
Styrelsen för Samfundssikkerheds vägledningar
samsik.dk har publicerat fyra officiella vägledningar för NIS2-implementering i Danmark: vägledning om tillämpningsområdet, vägledning om ledningens roll och uppgifter, vägledning om åtgärder och vägledning om incidentrapportering. Det är danska statens egen tolkning av vad som förväntas.
Är ni redo för NIS2?
Boka en gratis demo och se hur NodeZero validerar er NIS2-compliance automatiskt.
NIS2 compliance med automatiserad pentest
Här kommer vi till den punkt där det verkligen blir intressant.
NIS2 Artikel 21, punkt (f) kräver:
”Policyer och procedurer för att bedöma effektiviteten av åtgärder för styrning av cybersäkerhetsrisker.”
Läs den meningen igen. Ni ska inte bara ha säkerhetsåtgärder, ni ska bevisa att de fungerar.
Traditionellt har det betytt: Anlita en extern pentester för 200.000-400.000 kr, vänta 2-3 veckor på en PDF-rapport och hoppas att er infrastruktur inte har förändrats innan bläcket torkat.
Problemet är uppenbart:
- Ett test per år är en snapshot. 364 dagar är ni blinda.
- Scope begränsas av budget. Ju dyrare testet är, desto mer skär ni bort.
- Rapporten är föråldrad innan ni hinner agera. Nya sårbarheter dyker upp dagligen.
- Verifiering av fixes kostar extra. Vill ni kontrollera om er patch fungerade? Det är ett nytt engagemang.
Automatiserad pentest förändrar ekvationen
Plattformar som NodeZero från Horizon3.ai kör autonoma penetrationstester mot er infrastruktur, internt, externt, cloud, Active Directory, webbapplikationer. Inte som en sårbarhetsscanner, utan som en simulerad angripare som utnyttjar verkliga attackkedjor.
För NIS2 Artikel 21(f) är det avgörande: Ni får kontinuerlig dokumentation av att era åtgärder fungerar. Inte en datapunkt per år, utan en löpande audit trail som visar när ni testade, vad ni fann och när det åtgärdades.
Vad NodeZero konkret validerar i CIS 18
- CIS 4 (Säker konfiguration): Hittar exploatable misconfigurations
- CIS 5 (Kontostyrning): Upptäcker default credentials, svaga lösenord, föråldrade konton
- CIS 6 (Åtkomstkontroll): Testar om MFA faktiskt fungerar, hittar privilege escalation-paths
- CIS 7 (Sårbarhetshantering): Validerar om sårbarheter verkligen är exploatable
- CIS 12 (Nätverksinfrastruktur): Hittar segmenteringsfel och nätverkssvagheter
- CIS 18 (Penetration Testing): Direkt täckning
Steg-för-steg: Kör er egen NIS2 compliance med CIS 18 och NodeZero
Här är planen vi ger våra kunder. Den är pragmatisk, den är realistisk och den kan genomföras utan konsultbyrå.
Steg 1: Klargör om ni omfattas (1 timme)
Gå in på nis2tjek.sikkerdigital.dk. Svara på frågorna. Om ni omfattas, fortsätt. Om inte, är ni klara (men överväg ändå att använda CIS 18 som er säkerhetsbaseline).
Steg 2: Gap-analys mot CIS 18 IG1/IG2 (1-2 dagar)
Ladda ner CIS 18 Controls v8.1. Samla ert IT-team. Gå igenom varje safeguard i IG1 (56 st) och IG2 (ytterligare 74 st, 130 totalt). Betygsätt er själva: Implementerat, Delvis eller Saknas. Använd CIS officiella NIS2-mappning för att se vilka Art. 21-krav era hål träffar. Det ger er prioriteringen.
Steg 3: Stäng de enkla hålen (2-4 veckor)
Börja med IG1-safeguards som saknas. De flesta handlar om grundläggande hygien:
- Asset inventory (CIS 1-2): Vet ni vad som finns på ert nätverk?
- MFA på alla administrativa konton (CIS 6)
- Automatisk backup med test av restore (CIS 11)
- Säker konfiguration/hardening (CIS 4)
- Loggning aktiverad och centraliserad (CIS 8)
Steg 4: Validera med automatiserad pentest (1 dag)
Kör ett NodeZero-test mot er infrastruktur. Den hittar attackkedjor ni inte visste existerade, misconfigurations som gick under radarn i gap-analysen, default credentials ni glömde att ändra och privilege escalation paths från användare till domain admin. Se hur en NodeZero pentest fungerar i praktiken.
Steg 5: Fixa och verifiera (löpande)
Använd NodeZeros Quick Verify för att omverifiera att era fixes fungerar utan att köra ett fullständigt test. Sätt upp automatiska tester veckovis eller månadsvis. Nu har ni den kontinuerliga effektivitetsbedömning som Art. 21(f) kräver.
Steg 6: Dokumentera med OCSP
Samla ert CIS 18-scorecard, era NodeZero-rapporter och era policydokument. Med OpinioSec Compliance & Security Portal (OCSP) mappas fynd automatiskt till ert compliance-regime via en live dashboard: NIS2, GDPR, DORA, ISO 27001 eller ett av 250+ andra ramverk.
OCSP levererar fem rapporttyper, från Executive Summary till Compliance-audit, genererade on-demand på under 60 sekunder. Med kronjuvel-prioritering och 50+ auto-detektionsmönster prioriterar ni utan extern hjälp: era mest kritiska tillgångar mappade mot funna sårbarheter ger er en prioritering baserad på affärsvärde, inte bara CVSS-scores.
När tillsynsmyndigheten knackar på har ni något att visa upp, inte en dammig PDF från förra året, utan en levande, uppdaterad portal med compliance-klar dokumentation.
NIS2 compliance: När ni ska ha extern hjälp
Det finns saker ni inte bör göra själva. Spara pengarna till där de verkligen gör skillnad:
- Juridisk rådgivning: NIS2-lagen är ny och tolkningen utvecklas. Styrelsen kan ådra sig personliga sanktioner. Prata med en jurist som känner området. Läs mer om NIS2 och styrelseansvar.
- Extern audit och certifiering: ISO 27001-certifiering, ISAE 3000/3402-uttalanden eller andra formella attesteringar kräver extern revision.
- Social engineering och fysisk säkerhetstest: Separata discipliner som kan adresseras genom awareness-träning (CIS Control 14).
- Komplex arkitektur och OT-säkerhet: SCADA-system och hybrid IT/OT-arkitektur kräver specialiserad expertis.
Den pragmatiska sanningen om NIS2 compliance
NIS2-compliance behöver inte vara ett sexsiffrigt konsultprojekt. De företag som klarar sig bäst är de som förstår sin egen miljö bättre än någon extern konsult, använder erkända ramverk som CIS 18 för att strukturera arbetet, automatiserar validering istället för att betala för point-in-time snapshots och hämtar extern hjälp målriktat för juridik, audit och det som kräver oberoende.
För i slutändan handlar det inte om att kryssa i en ruta. De bästa säkerhetsteam vi arbetar med har insett en sak: compliance är ett minimum. Verklig säkerhet kräver att ni slutar fråga ”uppfyller vi kraven?” och börjar fråga ”fungerar det?”
Nästa steg
Den snabbaste vägen att se var ni står är att låta er infrastruktur bli testad. Inte som en teoretisk gap-analys på en whiteboard, utan som en verklig, simulerad attack mot era system.
Boka en NodeZero-demo med OpinioSec. Vi kör ett test mot er miljö, går igenom resultaten tillsammans och ni får en konkret bild av er säkerhetsnivå mappad direkt till NIS2-kraven.
Boka en gratis NodeZero-demo eller ring oss på +45 77 34 56 40.
Vanliga frågor om NIS2-compliance compliance
Omfattas mitt företag av NIS2?
Det beror på er bransch och storlek. Kontrollera det på nis2tjek.sikkerdigital.dk. NIS2 omfattar 18 sektorer, inklusive energi, transport, hälsovård, digital infrastruktur, offentlig förvaltning och livsmedel. Företag med över 50 anställda eller över 10 miljoner euro i omsättning i dessa sektorer omfattas typiskt.
Kan jag själv göra en NIS2 gap-analys?
Ja. Använd CIS 18 Critical Security Controls som ramverk och CIS officiella NIS2-mappning. Gå igenom de 56 IG1-safeguards (eller 130 IG2-safeguards) med ert IT-team. Det tar 1-2 dagar och kostar inget utöver er tid.
Vad är skillnaden mellan CIS 18 och NIS2?
NIS2 är lagstiftning. Den definierar vad ni ska göra. CIS 18 är ett ramverk som visar hur ni gör det. CIS har gjort en officiell mappning som kopplar ihop de två så ni kan använda CIS 18 som implementeringsguide för NIS2-kraven.
Vad kostar det att bli NIS2-compliant?
Det varierar enormt. Ett fullständigt konsultprojekt kan kosta 400.000-800.000 kr. Men genom att göra gap-analys och grundläggande implementeringar själva och använda automatiserad pentest för validering kan ni minska externa kostnader med 50-80%. Se prisjämförelse här.
Hur dokumenterar jag NIS2-compliance löpande?
Automatiserad pentest med NodeZero ger kontinuerlig dokumentation av säkerhetseffektivitet. Med OCSP mappas fynd automatiskt till NIS2-krav och genererar compliance-rapporter on-demand. Det är det mest effektiva sättet att uppfylla Artikel 21(f):s krav på effektivitetsbedömning.
Vad händer om vi inte följer NIS2?
Sanktionerna under NIS2 är betydande. För väsentliga enheter upp till 10 miljoner euro eller 2% av global omsättning. För viktiga enheter upp till 7 miljoner euro eller 1,4% av global omsättning. Därutöver kan ledningen åläggas personligt ansvar. Läs mer om styrelsens ansvar under NIS2.
Läs även
- NodeZero i praktiken: Autonom pentest på under 4 timmar
- Kontinuerlig penetrationstest: Varför årlig pentest inte räcker
- Pentest pris: Automatiserad vs. traditionell
- NIS2 krav: Personligt ansvar för styrelsen
- Pen test i 2026: Därför väljer fler automatiserad pentest
- Automatiserad penetrationstest med NodeZero
- IT-säkerhetstest: 5 Metoder för att Validera Er Cybersäkerhet
OpinioSec är Nordens mest erfarna NodeZero-leverantör och enda svenska Horizon3.ai Guld-partner. Vi kombinerar licens, rådgivning och drift i en samlad lösning och hjälper svenska organisationer att stärka sin cybersäkerhet genom automatiserad pentest och praktisk säkerhetsarkitektur.