NIS2-krav innebär personligt ansvar för styrelsen – sedan 1 juli 2025 kan ledningen hållas ansvarig för cybersäkerhet. Här är vad ni behöver veta.
NIS2 ställer nya krav på styrelsen. Vad gör ni nu?
Sedan 1 juli 2025 kan styrelsen personligen hållas ansvarig för att ert företag lever upp till de nya NIS2-kraven för cybersäkerhet. För tusentals svenska företag inom 18 kritiska sektorer betyder det en sak: cybersäkerhet är inte längre en teknisk uppgift, det är ett styrelsesansvar.
Böter upp till 75 miljoner kronor. Personligt ledningsansvar. En 24-timmarsfrist för att rapportera säkerhetshändelser. NIS2-kraven är verkliga, konsekvenserna är märkbara, och tidsfönstret för att agera är nu.
Men här är de goda nyheterna: NIS2-compliance behöver inte vara oöverkomligt. Med rätt ramverk och rätt verktyg kan ni gå från lagtext till konkret handlingsplan, och vi visar er hur.
Denna artikel ger er tre saker:
- En klar överblick över vad NIS2-krav och vad som krävs av ert företag
- CIS 18 Controls som er en praktisk roadmap till compliance
- Automatiserad pentest som metoden för att bevisa att era åtgärder faktiskt fungerar
NIS2-krav kort beräknat: personligt ansvar och snäva deadlines
NIS2 (Network and Information Security Directive 2) är EU:s uppgraderade cybersäkerhetsdirektiv som ersätter det ursprungliga NIS1. I Sverige antogs lagen enhälligt av riksdagen den 29 april 2025, och Myndigheten för samhällsskydd och beredskap (MSB) för tillsyn.
Vem omfattas av NIS2-krav?
Företag i 18 sektorer, från energi, transport och hälso- och sjukvård till livsmedel, tillverkning och digitala leverantörer. Avgörande är tre kriterier:
- Sektor: Är ni i en av de 18 omfattade sektorerna?
- Storlek: Medelstora (50+ anställda eller 10M+ EUR omsättning) och stora företag omfattas automatiskt
- Samhällskritisk funktion: Vissa enheter omfattas oavsett storlek (t.ex. DNS-leverantörer, cloud-infrastruktur, betrodda tjänster)
Är ni osäkra på NIS2-kraven? Kontrollera nis2tjek.sikkerdigital.dk, det tar fem minuter.
Artikel 21: De 10 NIS2-krav ni ska leva upp till
Kärnan i NIS2 är Artikel 21, som kräver lämpliga och proportionella åtgärder inom minst 10 områden:
| # | Krav | Kort förklaring |
|---|---|---|
| (a) | Riskanalys och säkerhetspolicyer | Policyer för riskbedömning och informationssäkerhet |
| (b) | Händelsehantering | Processer för att detektera, hantera och lära av händelser |
| (c) | Verksamhetskontinuitet | Backup, disaster recovery och krishantering |
| (d) | Leverantörskedjesäkerhet | Säkerhetskrav för leverantörer och tjänsteleverantörer |
| (e) | Säkerhet vid anskaffning och utveckling | Sårbarhetshantering i system och mjukvara |
| (f) | Bedömning av effektivitet | Test och utvärdering av säkerhetsåtgärder |
| (g) | Cyberhygien och utbildning | Medvetenhetsträning och grundläggande säkerhetspraxis |
| (h) | Kryptografi | Policyer för användning av kryptering |
| (i) | Åtkomstkontroll och tillgångshantering | Personalsäkerhet och styrning av åtkomsträttigheter |
| (j) | MFA och säker kommunikation | Multifaktorautentisering och säkrad kommunikation |
Ledningsansvar: det nya i NIS2-kraven
Här skiljer sig NIS2-kraven markant från det mesta föregående reglering: styrelsen och den högsta ledningen är direkt och personligt ansvarig för att godkänna och föra tillsyn med cybersäkerhetsåtgärderna.
Det betyder konkret:
- Ledamöter kan ådra sig personliga sanktioner
- Möjliga konsekvenser inkluderar tillfälligt förbud mot att inneha ledningspositioner
- Ledningen ska genomgå cybersäkerhetsutbildning
- Bristande efterlevnad kan offentliggöras
Det räcker inte längre att delegera cybersäkerhet till IT-avdelningen och hoppas på det bästa.
Sanktioner vid brott mot NIS2-krav
- Väsentliga enheter: Upp till €10 mio. eller 2% av global årsomsättning
- Viktiga enheter: Upp till €7 mio. eller 1,4% av global årsomsättning
- I svensk kontext: böter upp till 75 miljoner SEK
NIS2-krav för incident reporting: Snäva tidsfrister
När en väsentlig händelse inträffar räknas klockan:
| Frist | Vad ska rapporteras? |
|---|---|
| 24 timmar | Early warning, första underrättelse, inklusive om händelsen beror på en skadlig handling |
| 72 timmar | Incident notification, bedömning av allvar, påverkan och indicators of compromise |
| 1 månad | Final report, detaljerad beskrivning, root cause och avhjälpningsåtgärder |
24 timmar är inte lång tid. Utan etablerade processer och verktyg är det nästan omöjligt att följa.
Problemet: NIS2-krav säger vad – men inte hur ni uppfyller dem
Här stöter många företag på muren.
NIS2:s Artikel 21 är tydlig om vad som krävs: riskanalys, händelsehantering, leverantörskedjesäkerhet, effektivitetsbedömning och så vidare. Men direktivet säger mycket lite om hur ni konkret implementerar det.
Resultatet? Företag sitter med en lag som ställer tydliga krav men ingen handlingsplan för att uppfylla dem. Många hamnar i ett av två scenarier:
- Compliance-panik: Dyra konsultförlopp som producerar policydokument men inte reellt förbättrar säkerheten
- Analysförlamning: Kraven verkar oöverkomliga och inget händer
Båda scenarierna är dyra, antingen i konsultnotor eller i risk.
Det företag behöver är ett konkret, prioriterat ramverk som översätter NIS2:s lagkrav till specifika tekniska och organisatoriska åtgärder, och ett verktyg som validerar implementeringen löpande. Ramverket existerar redan. Verktyget gör det också.
Vill ni se vad en angripare ser i ert nätverk?
NodeZero kör en fullständig pentest på under 4 timmar. Inga agenter, inga förpliktelser.
CIS 18 Controls: Er praktiska roadmap till NIS2-krav compliance
CIS Critical Security Controls (CIS 18) version 8.1 är ett set av 18 säkerhetskontroller med 153 specifika safeguards, utvecklat av Center for Internet Security. Där NIS2 beskriver vad organisationer ska göra, beskriver CIS 18 hur de stärker sin cybersäkerhet.
Varför CIS 18?
- Handlingsorienterat: Varje kontroll har konkreta, implementerbara safeguards
- Officiell NIS2-mapping: CIS har själva utgivit en mapping från CIS Controls v8.1 till NIS2, det är inget vi hittar på
- Skalbart: Tre Implementation Groups gör det realistiskt för företag i alla storlekar
- Mätbart: Safeguards är designade för att kunna mätas, avgörande för NIS2:s krav på effektivitetsbedömning
- Baserat på verkligheten: Uppdaterat löpande baserat på faktiska angreppsmönster, inte akademisk teori
- Gratis tillgängligt: Inga licenskostnader för ramverket själv
CIS 18 är en stark utgångspunkt, men i praktiken måste de flesta företag förhålla sig till flera ramverk samtidigt: NIS2, GDPR, DORA, ISO 27001 och andra. Med OpinioSec Compliance & Security Portal (OCSP) mappas NodeZero-fynd automatiskt till över 250 ramverk på en gång via en live compliance-dashboard. Ni väljer ert regim och rapporterna justeras därefter, redo för tillsyn på under 60 sekunder.
De 18 kontrollerna i översikt
| # | Control | Fokus |
|---|---|---|
| 1 | Inventory of Enterprise Assets | Känn er hårdvara |
| 2 | Inventory of Software Assets | Känn er mjukvara |
| 3 | Data Protection | Skydda era data |
| 4 | Secure Configuration | Härda era system |
| 5 | Account Management | Styr användarkonton |
| 6 | Access Control Management | Styr åtkomsträttigheter |
| 7 | Continuous Vulnerability Management | Hitta och åtgärda sårbarheter löpande |
| 8 | Audit Log Management | Logga och övervaka |
| 9 | Email and Web Browser Protections | Skydda mot phishing och webb-hot |
| 10 | Malware Defenses | Stoppa malware |
| 11 | Data Recovery | Backup och återställning |
| 12 | Network Infrastructure Management | Säkra ert nätverk |
| 13 | Network Monitoring and Defense | Övervaka och försvara |
| 14 | Security Awareness Training | Träna era medarbetare |
| 15 | Service Provider Management | Styr leverantörssäkerhet |
| 16 | Application Software Security | Säkra era applikationer |
| 17 | Incident Response Management | Hantera händelser |
| 18 | Penetration Testing | Testa om allt fungerar |
Implementation Groups: Börja där ni är
CIS 18 är designat för att vara skalbart. Ni behöver inte implementera allt på en gång:
- IG1 (56 safeguards): Grundläggande cyberhygien. Det absoluta minimum varje organisation bör ha. Passar mindre företag med begränsad IT-expertis.
- IG2 (130 safeguards totalt): För medelstora organisationer med flera avdelningar och compliance-behov. Här befinner sig de flesta NIS2-omfattade företag.
- IG3 (153 safeguards totalt): För stora organisationer med dedikerade säkerhetsteam och behov av att motstå sofistikerade angrepp.
Implementation Groups är kumulativa, IG2 inkluderar allt från IG1, och IG3 inkluderar allt från IG2. Ni bygger ovanpå, inte om.
Den konkreta mappningen: CIS 18 → NIS2 Artikel 21
Här blir det praktiskt. CIS har utgivit en officiell mapping mellan sina kontroller och NIS2-direktivet. Det betyder att ni kan ta varje NIS2-krav och se exakt vilka CIS-kontroller som adresserar det:
| NIS2 Art. 21 Krav | Primära CIS Controls | Vad det betyder i praktiken |
|---|---|---|
| (a) Riskanalys & säkerhetspolicyer | CIS 1, 2, 3, 4, 5, 6 | Känn era assets, skydda era data, härda era system |
| (b) Händelsehantering | CIS 17 | Etablera incident response-plan och öva den |
| (c) Verksamhetskontinuitet | CIS 11 | Backup-strategi med test av återställning |
| (d) Leverantörskedjesäkerhet | CIS 15 | Utvärdera och styr leverantörers säkerhet |
| (e) Sårbarhetshantering | CIS 7, 16 | Löpande skanning, patching och säker utveckling |
| (f) Bedömning av effektivitet | CIS 18, 7 | Pentest och löpande sårbarhetsvalidering |
| (g) Cyberhygien & utbildning | CIS 4, 9, 10, 14 | Träning, säker konfiguration, phishing-skydd |
| (h) Kryptografi | CIS 3 | Kryptering av data i transit och at rest |
| (i) Åtkomstkontroll & tillgångshantering | CIS 1, 2, 5, 6 | Asset inventory och stram åtkomststyrning |
| (j) MFA & säker kommunikation | CIS 6, 12 | MFA på alla kritiska system, säkrad kommunikation |
Denna tabell är er översättningsnyckel. Ta med den till nästa styrelsemöte.
Artikel 21(f): Det förbisedda NIS2-kravet som kräver bevis
Låt oss zooma in på ett specifikt krav som ofta förbises men som kan bli avgörande vid en tillsyn.
Artikel 21, stk. 2, litra (f) kräver:
”Policyer och procedurer för bedömning av effektiviteten av åtgärder för hantering av cybersäkerhetsrisker”
Med andra ord: Det räcker inte att ha säkerhetsåtgärder. Ni ska bevisa att de fungerar.
Ni kan ha världens bästa brandväggspolicy, den mest detaljerade incident response-plan och MFA på alla system. Men om ni inte systematiskt testar och dokumenterar att dessa åtgärder faktiskt stoppar angrepp, uppfyller ni inte kraven.
Hur bevisar ni effektivitet?
Det finns flera metoder, sårbarhetsskanning, audits, tabletop-övningar, men penetrationstest är den mest erkända och direkta metoden för att bedöma om era säkerhetskontroller håller i praktiken.
En pentest simulerar ett verkligt angrepp mot er infrastruktur. Den visar inte bara teoretiska sårbarheter, den bevisar om en angripare faktiskt kan utnyttja dem, hur långt de kan komma och om era försvarsmekanismer upptäcker och stoppar angreppet. Och när fynd mappas direkt till era kontrollkrav, inte bara som CVE-nummer utan som kontroller som misslyckas, får ni auditerbara rapporter som fungerar som konkret compliance-bevis inför tillsyn och revision.
Som en tysk säkerhetsexpert formulerar det: ”NIS2 kräver inte explicit penetrationstest, men direktivet ställer krav som knappast är genomförbara eller verifierbara utan det.”
CIS 18 håller med då Control 18 är dedikerat specifikt till penetrationstest som den ultimata valideringen av alla övriga kontroller.
Och just här ligger en viktig poäng: compliance är ett minimum, inte ett mål i sig. Ni kan kryssa av i alla scheman och fortfarande vara sårbara. Verklig säkerhet kräver att ni går från checkbox till validering, att ni testar om era åtgärder faktiskt stoppar ett angrepp, inte bara om de är dokumenterade.
Traditionell vs. automatiserad pentest: Vad passar för NIS2-kraven?
När vi talar om pentest som NIS2-compliance-metod är det viktigt att förstå skillnaden mellan det traditionella tillvägagångssättet och det automatiserade.
Jämförelse
| Aspekt | Traditionell pentest | Automatiserad pentest |
|---|---|---|
| Frekvens | 1-2 gånger årligen | Veckovis eller dagligen |
| Varaktighet per test | 1-3 veckor | Timmar |
| Pris | 150.000-400.000+ SEK per test | Fast abonnemang, obegränsade tester |
| Scope | Begränsat av tid och budget | Full infrastruktur, varje gång |
| Konsistens | Varierar med testarens erfarenhet | Reproducerbart och konsistent |
| Rapport | PDF levererat veckor efter test | Realtids dashboard med fix-vägledning |
| Verifiering av fixes | Kräver nytt test (ny kostnad) | Inkluderat, omtest samma dag |
| Täckning över tid | 1-2 snapshots om året | Kontinuerlig |
| Kreativitet | Hög (mänsklig intuition, social engineering) | Växande (AI-driven angreppslogik) |
364 dagar blind
Här är den obehagliga sanningen om det traditionella tillvägagångssättet: Om ni pentestår en gång om året har ni en ögonblicksbild av er säkerhet. De återstående 364 dagarna opererar ni utan validering.
Nya sårbarheter offentliggörs dagligen. Konfigurationer ändras. Medarbetare byter jobb och deras konton förblir aktiva. En pentest från mars säger er inget om er säkerhetssituation i november.
För NIS2-kraven om löpande bedömning av effektivitet är en årlig snapshot ett minimum, men det matchar inte direktivets anda.
Vad automatiserad pentest levererar
Moderna automatiserade pentest-plattformar fungerar som en autonom angripare som testar er infrastruktur på samma sätt som en verklig threat actor:
- Intern pentest: Testar internt nätverk för lateral movement, privilege escalation och misconfigurations
- Extern pentest: Utvärderar er externa angreppsyta
- Cloud-pentest: Testar AWS, Azure och hybridmiljöer
- Webbapplikationstest: Simulerar angrepp mot webbapplikationer
- AD-audit: Verifierar lösenordspolicyer och Active Directory-säkerhet
Viktigast: Plattformen levererar detaljerad fix-vägledning per fynd och möjlighet att revalidera reparationer utan att köra ett fullt nytt test.
Kombination är bäst
Det starkaste tillvägagångssättet kombinerar båda metoderna:
- Automatiserad pentest som er löpande baseline, veckovisa eller månatliga tester som håller er uppdaterade
- Årlig manuell pentest ersätts av kontinuerlig automatiserad validering som täcker långt mer än en årlig snapshot
Denna kombination ger er både bredd (kontinuerlig täckning) och djup (expertdriven kreativitet) och tillfredsställer NIS2:s krav på löpande effektivitetsbedömning.
NodeZero: Plattformen bakom automatiserad pentest hos OpinioSec
Hos OpinioSec använder vi NodeZero från Horizon3.ai. Och låt oss vara helt tydliga: NodeZero är inte en sårbarhetsskanner. Har ni Qualys eller Tenable har ni en CVE-lista. NodeZero är en autonom angripare som kedjar samman svagheter, utnyttjar dem och dokumenterar hela vägen från initial access till domain compromise. Det är en helt annan liga.
Vad gör NodeZero annorlunda?
- Autonom angreppslogik: NodeZero kedjar samman sårbarheter, precis som en mänsklig angripare. Den hittar inte bara en svaghet, den visar hela angreppsvägen från initial access till domain compromise.
- Proof of exploitation: Varje fynd dokumenteras med bevis för att det faktiskt kan utnyttjas, inte bara en teoretisk riskpoäng.
- Fix-vägledning med prioritering: Varje fynd kommer med konkret vägledning för åtgärd, prioriterat efter faktisk påverkan, inte CVSS-poäng i ett vakuum.
- 1-klicks verifiering: När ni har rättat en sårbarhet kan ni revalidera med ett klick. Inget nytt fullständigt test nödvändigt.
- Kontinuerlig compliance-dokumentation: Varje test genererar rapporter som dokumenterar er säkerhetsställning, redo för NIS2-tillsyn.
NodeZero och NIS2-krav: Artikel 21(f)
NodeZero löser det problem som många företag kämpar med: löpande, dokumenterat bevis för att säkerhetsåtgärderna fungerar. Kör ett test idag, få resultaten imorgon, rätta fynden, verifiera reparationerna och upprepa nästa vecka. Det är exakt den kontinuitet som krävs av NIS2-kraven.
Er roadmap: 3 steg för att uppfylla NIS2-krav
Nog teori. Här är er konkreta handlingsplan.
Steg 1: Gap-analys mot CIS 18
Börja med att kartlägga var ni står idag.
- Välj er Implementation Group: De flesta NIS2-omfattade företag bör sikta mot IG2 som minimum
- Gå igenom varje CIS-kontroll mot er nuvarande praxis: Vad har ni? Vad saknas? Vad är delvis implementerat?
- Prioritera gaps baserat på risk och NIS2-kraven i Artikel 21
- Dokumentera resultatet detta blir er baseline och er compliance-evidens
En strukturerad gap-analys tar typiskt 2-4 veckor, beroende på organisationens storlek och komplexitet.
Resultat: En tydlig bild av er mognad och en prioriterad lista över vad som behöver göras.
Steg 2: Implementera prioriterade kontroller (IG1 → IG2 → IG3)
Med er gap-analys i handen, implementera systematiskt:
Börja med IG1-grunden:
- Asset inventory (CIS 1, 2), ni kan inte skydda vad ni inte känner till
- Secure configuration (CIS 4), härda era system utifrån erkända baselines
- Account och access control (CIS 5, 6), MFA, least privilege, stram åtkomststyrning
- Data recovery (CIS 11), backup som faktiskt är testad
- Security awareness (CIS 14), träna era medarbetare
Bygg vidare med IG2:
- Continuous vulnerability management (CIS 7)
- Audit log management (CIS 8)
- Network monitoring (CIS 13)
- Service provider management (CIS 15)
- Incident response (CIS 17)
Avancerat med IG3:
- Application software security (CIS 16)
- Penetration testing (CIS 18)
- Avancerat nätverksförsvar (CIS 13, utvidgade safeguards)
Varje steg bygger ovanpå det föregående. Ni behöver inte nå IG3 på dag ett, men ni ska ha en plan och kunna dokumentera progression.
Resultat: Konkreta säkerhetsförbättringar som mappar direkt till NIS2-kraven.
Steg 3: Validera kontinuerligt med NodeZero
Det sista steget sluter cirkeln och uppfyller det kritiska kravet i Artikel 21(f).
- Kör NodeZero regelbundet, veckovis eller månadsvis som minimum
- Använd resultaten aktivt: Prioritera remediering baserat på faktisk exploiterbarhet, inte bara CVSS-poäng
- Revalidera reparationer med 1-klicks verifiering för att säkerställa att de faktiskt täpper igen hålen
- Dokumentera allt, NodeZero:s rapporter via OCSP utgör er compliance-evidens
- Dokumentera allt, NodeZero:s rapporter, remedieringsåtgärder och revalideringar utgör er compliance-evidens
Resultat: Löpande, dokumenterat bevis för att era säkerhetsåtgärder fungerar, precis vad NIS2 kräver.
Från NIS2-krav till handling
NIS2 är inte en papperstiger. Med personligt ledningsansvar, böter upp till 75 miljoner SEK och snäva rapporteringsfrister är konsekvenserna verkliga. Men compliance behöver inte vara oöverkomligt.
Låt oss sammanfatta:
- NIS2 definierar vad ert företag ska leva upp till
- CIS 18 Controls ger er hur, ett prioriterat, skalbart ramverk med officiell NIS2-mapping
- NodeZero bevisar att det fungerar, löpande, dokumenterat och i enlighet med Artikel 21(f)
De tre elementen tillsammans ger er en komplett, pragmatisk väg från lagkrav till verklig cybersäkerhet.
OpinioSec ger er verktyget för att uppfylla NIS2-krav
Vi ger svenska företag tillgång till de verktyg som gör NIS2-compliance konkret och mätbart, med NodeZero som centralt fokus.
Med OpinioSec får ni:
- NodeZero-plattformen, autonom pentest som kör när ni vill, så ofta ni vill, levererat av Nordens mest erfarna NodeZero-partner och enda svenska Horizon3.ai Guldpartner
- OpinioSec Compliance & Security Portal (OCSP), live compliance-dashboard med automatisk mapping till NIS2, GDPR, DORA, ISO 27001 och 250+ andra ramverk
- 5 rapporttyper, Pentest-historik, Säkerhetsposition, Kronjuvel-exponering, Compliance-audit och Executive Summary, genererade on-demand på under 60 sekunder som PDF eller Excel
- Kronjuvel-prioritering, 50+ auto-detektionsmönster identifierar och prioriterar fynd som hotar era mest kritiska assets
- Avancerad planering, 12-månaders kalendervy med blackout-fönster, regionala mallar och iCal-integration
- 13 realtidsalarmtyper, från kritiska fynd på kronjuveler till compliance-statusförändringar, levererade omedelbart
- Gap-analys mot CIS 18, vi mappar er nuvarande säkerhet mot NIS2-kraven
- Manipulationssäkert audit trail, fullständig loggning av alla åtgärder, redo för revision och tillsyn
- Manipulationssäkert audit trail, fullständig loggning av alla åtgärder, redo för revision
NIS2 är i kraft. Ert verktyg för compliance är redo.
Se hur automatiserad pentest validerar er NIS2-compliance, boka en gratis NodeZero-demo https://horizon3.ai/
Vanliga frågor om NIS2-krav
Vem omfattas av NIS2?
Företag i 18 sektorer med 50+ anställda eller 10M+ EUR omsättning omfattas automatiskt. Vissa samhällskritiska funktioner omfattas oavsett storlek. Kontrollera nis2tjek.sikkerdigital.dk för att se om ert företag omfattas.
Vad är böterna under NIS2?
Väsentliga enheter riskerar böter upp till 10 mio. EUR eller 2% av global årsomsättning. I svensk kontext upp till 75 mio. SEK. Därtill kommer personligt ledningsansvar för styrelsen.
Hur bevisar man NIS2-compliance?
NIS2 Artikel 21(f) kräver att ni bevisar att era säkerhetsåtgärder fungerar. Penetrationstest är den mest direkta metoden. CIS 18 Controls ger en praktisk roadmap från lagkrav till konkret implementering.
Vad är skillnaden mellan NIS2 och NIS1?
NIS2 utvidgar antalet omfattade sektorer från 7 till 18, inför personligt ledningsansvar, stramar åt incident reporting till 24 timmar och kräver löpande effektivitetsbedömning av säkerhetsåtgärder.
Vad kostar det att bli NIS2-compliant?
Det beror på företagets storlek och nuvarande mognad. Med automatiserad pentest och ett ramverk som CIS 18 kan ni uppnå compliance markant billigare än med traditionella konsultförlopp. Se prisjämförelse här.
Läs också
- Kontinuerlig penetrationstest: Varför årlig pentest inte räcker
- Pentest pris: Automatiserad vs. traditionell
- Se NodeZero produktsida →
- NodeZero i praktiken: Så kör vi en autonom pentest på under 4 timmar
- NIS2-compliance själv: Validera er säkerhet utan dyra konsulter
- IT Säkerhetstest: 5 Metoder för att Validera Er Cybersäkerhet
Denna artikel är utgiven av OpinioSec i februari 2026. Vill ni se NodeZero i aktion och förstå hur automatiserad pentest kan validera er NIS2-compliance? Boka en gratis demo.