NIS2-revision i Sverige: vad MCF och PTS faktiskt granskar

Cybersäkerhetslagen (SFS 2025:1506) trädde i kraft den 15 januari 2026 och självregistreringsfönstret hos Myndigheten för civilt försvar (MCF) stängde den 16 februari. Det betyder att tillsynsfasen redan har börjat. Frågan är inte längre om en granskning kommer — det är vad du kan visa upp när den gör det.

Den här artikeln är en revisionsspelbok. Vi går igenom vad MCF och PTS faktiskt frågar efter under en NIS2-tillsyn, vilka av artikel 21(2):s tio säkerhetsåtgärder som går att verifiera tekniskt redan idag, och var organisatorisk dokumentation tar vid. Allt som hävdas här är knutet till en lagtext, en EDPB-vägledning eller ett offentligt tillsynsbeslut.

Vad en NIS2-revision faktiskt är

En NIS2-revision i Sverige är inte en checklista. Den är en bevisinhämtning. MCF och sektorsspecifika tillsynsmyndigheter som PTS (Post- och telestyrelsen) har enligt artikel 32 i NIS2-direktivet rätt att begära tre saker: dokumentation av dina säkerhetsåtgärder enligt artikel 21(2), bevis på att åtgärderna är implementerade, och bevis på att de är effektiva.

De första två är pappersarbete — riskanalys, incidentplaner, leveranskedjeavtal. Det tredje är där de flesta organisationer fastnar. "Effektivitet" innebär att åtgärden faktiskt fungerar i produktion, inte bara att den är dokumenterad. För digitala tjänster betyder det vanligen att tillsynsmyndigheten begär tekniska bevis: konfigurationer, loggar, scanresultat, externa revisorsrapporter.

Skillnaden mellan en policy och ett bevis: en policy säger "vi använder TLS 1.2 eller högre". Ett bevis är en aktuell scanrapport som visar att din produktionsdomän faktiskt avvisar TLS 1.0/1.1-anslutningar. MCF accepterar inte policyn utan beviset.

Artikel 21(2): de tio åtgärderna, fördelade efter granskningsmetod

Artikel 21(2) i NIS2 listar tio kategorier säkerhetsåtgärder. Alla är obligatoriska för väsentliga och viktiga verksamheter. Men de testas på olika sätt — fyra går att verifiera med en automatiserad webbplatsskanning, sex kräver organisatorisk dokumentation. Att blanda ihop dem är en av de vanligaste orsakerna till att en tillsyn drar ut på tiden.

Tekniskt verifierbara åtgärder (skanning räcker)

(d) Säkerhet i leveranskedjan — tredjepartsskript, CDN-beroenden, CNAME-maskering, SBOM för publicerade applikationer
(e) Nätverks- och systemsäkerhet — TLS-konfiguration, HTTP-säkerhetsrubriker, öppna portar, CVE-exponering
(g) Cyberhygien — cookiehantering, samtyckesimplementering, dataminimering, uppdateringsstatus
(h) Kryptografi — certifikatvaliditet, krypteringssviter, HSTS, mixed content

De här fyra kan en revisor verifiera utifrån, utan tillgång till dina interna system. Det är också de fyra som Vakteyes scanner mappar direkt till artikel 21(2). När en granskning börjar kommer revisorn ofta köra en egen scan parallellt med din egen evidence — om resultaten skiljer sig är det ett rött flagg.

Organisatoriska åtgärder (kräver dokumentation)

(a) Riskanalys och informationssäkerhetspolicyer
(b) Incidenthantering — rutiner, eskaleringskedjor, övning
(c) Driftskontinuitet och krishantering — BCP, DRP, RTO/RPO
(f) Strategier för att mäta cybersäkerhetsåtgärdernas effektivitet
(i) Personalsäkerhet, åtkomstkontroll, tillgångshantering
(j) Flerfaktorsautentisering och säkrade kommunikationskanaler

För dessa sex behöver du dokumenterade processer: skriftliga policyer, ett tillgångsregister, åtkomstmatriser, MFA-täckningsrapporter från ditt identitetssystem. Ingen webbplatsskanning verifierar dem. När MCF frågar "hur testar ni att MFA fungerar?" är svaret en rapport från din IdP, inte en scan.

Artikel 23: rapporteringskedjan som tillsynen alltid testar

Artikel 23 reglerar incidentrapportering och är den första punkten på MCF:s tillsynslista i 2026. Skälet är enkelt: tidsfristerna är så korta att en organisation antingen har en repeterad rutin eller missar dem.

24 timmar — Tidig varning till CERT-SE via iron.mcf.se. Vad som hänt, misstänkt orsak, om incidenten har gränsöverskridande effekt.
72 timmar — Fullständig anmälan. Allvarlighetsgrad, påverkan, kompromissindikatorer (IoC), uppdaterad bedömning.
1 månad — Slutrapport. Grundorsaksanalys, vidtagna åtgärder, gränsöverskridande konsekvenser.

MCF kommer fråga: när inträffade er senaste incident, vem larmade, vilken kanal användes, hur lång tid tog det? Om svaret är "vi har inte haft någon incident" följer en följdfråga: "hur testar ni er rapporteringskedja?" En tabletop-övning per kvartal är miniminivån som regulatorn förväntar sig av en väsentlig verksamhet.

iron.mcf.se är CERT-SE:s rapporteringsportal. Verifiera nu att rätt personer har konton, att eskaleringskedjan är dokumenterad, och att 24-timmarsklockan är inbakad i din incidenthanteringsmall. Det är fem minuters arbete som kan rädda dig från en sanktionsavgift.

Sanktionsavgifter: storleken som faktiskt biter

NIS2 följer GDPR:s straffmodell. Det maximala beloppet är det högsta av en fast summa eller en procent av global årsomsättning. För en svensk organisation med 100 miljoner euro i omsättning är taken konkreta:

Väsentliga verksamheter: upp till 10 000 000 euro eller 2 % av den globala årsomsättningen, beroende på vilket som är högst. Viktiga verksamheter: upp till 7 000 000 euro eller 1,4 % av den globala årsomsättningen.
— NIS2-direktivet artikel 34, implementerat i Cybersäkerhetslagen (SFS 2025:1506)

Men sanktionsavgiften är inte den allvarligaste konsekvensen. NIS2 ger MCF rätt att utfärda bindande förelägganden, beordra externa säkerhetsrevisioner på din bekostnad, och — för väsentliga verksamheter — tillfälligt suspendera ledningens ansvar tills åtgärder vidtas. Företagsledningen kan hållas personligt ansvarig enligt artikel 20(1).

Sex frågor MCF kommer att ställa

Baserat på MCF:s publicerade tillsynsplan och de mönster som syns i tidiga 2026 års förfrågningar kommer en typisk inledande granskning innehålla några varianter av följande:

1. "Visa er senaste riskanalys enligt 21(2)(a). När uppdaterades den, av vem, och hur är hotmodellen kopplad till era åtgärder?"
2. "Visa er incidenthanteringsprocess enligt 21(2)(b). När övades den senast och vilka iakttagelser ledde till förändringar?"
3. "Visa hur ni säkrar leveranskedjan enligt 21(2)(d). Vilka tredjepartsleverantörer har ni, vilka säkerhetskrav ställer ni i avtalen, och hur följer ni upp?"
4. "Visa konfigurationsbevis för era publika tjänster enligt 21(2)(e) och (h). TLS-version, säkerhetsrubriker, certifikatlivscykel."
5. "Visa er MFA-täckning enligt 21(2)(j). Vilka konton, vilka faktorer, vilken procentuell täckning?"
6. "Visa ert kontinuitetsprogram enligt 21(2)(c). RTO, RPO, senaste återställningsövning."

Notera mönstret: varje fråga förväntar sig ett bevis, inte en policy. "Visa", inte "beskriv".

Vad du kan testa själv den här veckan

Innan en revision börjar bör du köra en intern kontroll mot artikel 21(2)(d), (e), (g) och (h). Du behöver inte en dyr konsult. Det här är vad du kan göra på en eftermiddag:

Kör en extern TLS-scan mot din produktionsdomän — Mozilla Observatory eller Qualys SSL Labs duger för 21(2)(h). Mål: A eller A+, inga TLS 1.0/1.1.
Kontrollera HTTP-säkerhetsrubriker för 21(2)(e). Strict-Transport-Security, Content-Security-Policy, X-Frame-Options, Referrer-Policy.
Lista alla tredjepartsskript som laddas på din publika webbplats för 21(2)(d). Varje domän som inte är din egen ska ha ett DPA och ett dokumenterat säkerhetskrav.
Kontrollera cookiebeteendet för 21(2)(g). Vilka cookies sätts före samtycke? Stoppas spårning faktiskt vid avslag? Här överlappar NIS2 med GDPR och LEK 9 kap §28.
Verifiera att iron.mcf.se-konton finns för CISO och en utsedd ersättare. Om ni inte kan logga in inom 24 timmar är ni inte 24-timmars-redo.

Om något av det ovan misslyckas är det inte en NIS2-fråga ännu — det är en gap-rapport du själv hittat innan revisorn gjorde det. Det är värt mycket.

Kör en NIS2-grundscan på 90 sekunder

Vakteyes scanner kontrollerar de fyra tekniskt verifierbara åtgärderna i artikel 21(2) och mappar varje fynd till lagtext, sanktionstak och MCF:s tillsynsfokus. Inga konton, inga säljsamtal — bara fynden, knutna till bevis.

Skanna din domän

Bevismatris: vad regulatorn vill se per åtgärd

När du väl har gjort den interna kontrollen, mappa varje åtgärd till en konkret bevistyp. MCF accepterar tre kategorier: en självproducerad rapport, en intern logg, eller en extern verifierad rapport (helst med kryptografisk signering). En extern signerad rapport väger tyngst — det är därför Vakteye genererar dem som standard.

21(2)(a) Riskanalys → ISO 27005-baserat dokument, daterat senaste 12 mån, godkänt av styrelsen
21(2)(b) Incidenthantering → SOPs + minst en tabletop-övningsrapport per kvartal
21(2)(c) BCP → BCP/DRP-dokument + senaste DR-test med RTO/RPO-mätning
21(2)(d) Leveranskedja → vendor-register + DPA + senaste tredjepartsscan
21(2)(e) Nätverk/system → konfigurationsbaslinjer + senaste extern säkerhetsscan
21(2)(f) Effektivitet → KPIer, scorecards, mognadsbedömning (CMM-nivå)
21(2)(g) Cyberhygien → utbildningsstatistik + senaste cookie/samtycke-scan
21(2)(h) Kryptografi → kryptoinventarie + cert-livscykel + scanrapport
21(2)(i) Personalsäkerhet → IAM-rapport, åtkomstmatris, off-boarding-loggar
21(2)(j) MFA → IdP-rapport som visar täckning per användarklass

Var Vakteye hjälper, och var det inte gör det

Vakteye är en automatiserad scanner. Det är ärligt om vad det kan och inte kan göra. Det täcker (d), (e), (g) och (h) i artikel 21(2) — den fjärdedel av NIS2 som faktiskt går att verifiera utifrån utan att ha tillgång till dina interna system.

För de sex organisatoriska åtgärderna producerar Vakteye en strukturerad gap-mall i compliance-rapporten, inte ett bevis. Du fyller i din egen dokumentation där. Den som säljer dig en "komplett NIS2-lösning" från en automatiserad scanner ljuger — eller har misförstått direktivet.

Det Vakteye gör som ingen GRC-plattform gör: när vi hittar en TLS 1.0-anslutning, en saknad CSP-rubrik, eller en cookie som sätts före samtycke, knyter vi det direkt till artikel 21(2) (för NIS2), GDPR artikel 32 (för säkerhet av personuppgifter) och relevant svensk implementation. Du får inte bara ett tekniskt fynd — du får sanktionsexponeringen.

Verifierbar uppgift: Cybersäkerhetslagen är publicerad som SFS 2025:1506 i Svensk författningssamling. Ikraftträdande 15 januari 2026. Självregistreringsfönstret hos MCF (Myndigheten för civilt försvar) stängde 16 februari 2026. Tillsynen är aktiv från och med tredje kvartalet 2026.

Bottom line

En NIS2-revision i Sverige avgörs inte av vad du har på papper. Den avgörs av om du kan visa fungerande åtgärder med externt verifierbara bevis när MCF eller PTS frågar. Pappersarbetet är basen, men evidensen är vad som klarar dig genom tillsynen.

De fyra tekniskt verifierbara åtgärderna — leveranskedja, nätverk, cyberhygien, kryptografi — är där de flesta organisationer kan starta. De är också där en automatiserad scanner kan ge dig en bevisbaserad baslinje på en eftermiddag. Resten är dokumentation och övning, men du kan inte börja med dokumentationen om din tekniska bas brister.

NIS2-evidens, inte bara checklistor

Vakteye levererar kryptografiskt signerade efterlevnadsrapporter mappade till artikel 21(2). Strukturen MCF auditorer förväntar sig, evidensen som hävdar sig.

Starta din NIS2-bedömning

Vad en NIS2-revision faktiskt är

Artikel 21(2): de tio åtgärderna, fördelade efter granskningsmetod

Tekniskt verifierbara åtgärder (skanning räcker)

(d) Säkerhet i leveranskedjan — tredjepartsskript, CDN-beroenden, CNAME-maskering, SBOM för publicerade applikationer
(e) Nätverks- och systemsäkerhet — TLS-konfiguration, HTTP-säkerhetsrubriker, öppna portar, CVE-exponering
(g) Cyberhygien — cookiehantering, samtyckesimplementering, dataminimering, uppdateringsstatus
(h) Kryptografi — certifikatvaliditet, krypteringssviter, HSTS, mixed content

Organisatoriska åtgärder (kräver dokumentation)

(a) Riskanalys och informationssäkerhetspolicyer
(b) Incidenthantering — rutiner, eskaleringskedjor, övning
(c) Driftskontinuitet och krishantering — BCP, DRP, RTO/RPO
(f) Strategier för att mäta cybersäkerhetsåtgärdernas effektivitet
(i) Personalsäkerhet, åtkomstkontroll, tillgångshantering
(j) Flerfaktorsautentisering och säkrade kommunikationskanaler

Artikel 23: rapporteringskedjan som tillsynen alltid testar

24 timmar — Tidig varning till CERT-SE via iron.mcf.se. Vad som hänt, misstänkt orsak, om incidenten har gränsöverskridande effekt.
72 timmar — Fullständig anmälan. Allvarlighetsgrad, påverkan, kompromissindikatorer (IoC), uppdaterad bedömning.
1 månad — Slutrapport. Grundorsaksanalys, vidtagna åtgärder, gränsöverskridande konsekvenser.

Sanktionsavgifter: storleken som faktiskt biter

Väsentliga verksamheter: upp till 10 000 000 euro eller 2 % av den globala årsomsättningen, beroende på vilket som är högst. Viktiga verksamheter: upp till 7 000 000 euro eller 1,4 % av den globala årsomsättningen.
— NIS2-direktivet artikel 34, implementerat i Cybersäkerhetslagen (SFS 2025:1506)

Sex frågor MCF kommer att ställa

Baserat på MCF:s publicerade tillsynsplan och de mönster som syns i tidiga 2026 års förfrågningar kommer en typisk inledande granskning innehålla några varianter av följande:

1. "Visa er senaste riskanalys enligt 21(2)(a). När uppdaterades den, av vem, och hur är hotmodellen kopplad till era åtgärder?"
2. "Visa er incidenthanteringsprocess enligt 21(2)(b). När övades den senast och vilka iakttagelser ledde till förändringar?"
3. "Visa hur ni säkrar leveranskedjan enligt 21(2)(d). Vilka tredjepartsleverantörer har ni, vilka säkerhetskrav ställer ni i avtalen, och hur följer ni upp?"
4. "Visa konfigurationsbevis för era publika tjänster enligt 21(2)(e) och (h). TLS-version, säkerhetsrubriker, certifikatlivscykel."
5. "Visa er MFA-täckning enligt 21(2)(j). Vilka konton, vilka faktorer, vilken procentuell täckning?"
6. "Visa ert kontinuitetsprogram enligt 21(2)(c). RTO, RPO, senaste återställningsövning."

Notera mönstret: varje fråga förväntar sig ett bevis, inte en policy. "Visa", inte "beskriv".

Vad du kan testa själv den här veckan

Innan en revision börjar bör du köra en intern kontroll mot artikel 21(2)(d), (e), (g) och (h). Du behöver inte en dyr konsult. Det här är vad du kan göra på en eftermiddag:

Kör en extern TLS-scan mot din produktionsdomän — Mozilla Observatory eller Qualys SSL Labs duger för 21(2)(h). Mål: A eller A+, inga TLS 1.0/1.1.
Kontrollera HTTP-säkerhetsrubriker för 21(2)(e). Strict-Transport-Security, Content-Security-Policy, X-Frame-Options, Referrer-Policy.
Lista alla tredjepartsskript som laddas på din publika webbplats för 21(2)(d). Varje domän som inte är din egen ska ha ett DPA och ett dokumenterat säkerhetskrav.
Kontrollera cookiebeteendet för 21(2)(g). Vilka cookies sätts före samtycke? Stoppas spårning faktiskt vid avslag? Här överlappar NIS2 med GDPR och LEK 9 kap §28.
Verifiera att iron.mcf.se-konton finns för CISO och en utsedd ersättare. Om ni inte kan logga in inom 24 timmar är ni inte 24-timmars-redo.

Om något av det ovan misslyckas är det inte en NIS2-fråga ännu — det är en gap-rapport du själv hittat innan revisorn gjorde det. Det är värt mycket.

Kör en NIS2-grundscan på 90 sekunder

Skanna din domän

Bevismatris: vad regulatorn vill se per åtgärd

21(2)(a) Riskanalys → ISO 27005-baserat dokument, daterat senaste 12 mån, godkänt av styrelsen
21(2)(b) Incidenthantering → SOPs + minst en tabletop-övningsrapport per kvartal
21(2)(c) BCP → BCP/DRP-dokument + senaste DR-test med RTO/RPO-mätning
21(2)(d) Leveranskedja → vendor-register + DPA + senaste tredjepartsscan
21(2)(e) Nätverk/system → konfigurationsbaslinjer + senaste extern säkerhetsscan
21(2)(f) Effektivitet → KPIer, scorecards, mognadsbedömning (CMM-nivå)
21(2)(g) Cyberhygien → utbildningsstatistik + senaste cookie/samtycke-scan
21(2)(h) Kryptografi → kryptoinventarie + cert-livscykel + scanrapport
21(2)(i) Personalsäkerhet → IAM-rapport, åtkomstmatris, off-boarding-loggar
21(2)(j) MFA → IdP-rapport som visar täckning per användarklass

Var Vakteye hjälper, och var det inte gör det

Bottom line

NIS2-evidens, inte bara checklistor

Vakteye levererar kryptografiskt signerade efterlevnadsrapporter mappade till artikel 21(2). Strukturen MCF auditorer förväntar sig, evidensen som hävdar sig.

Starta din NIS2-bedömning

NIS2-revision i Sverige: vad MCF och PTS faktiskt granskar

Vad en NIS2-revision faktiskt är

Artikel 21(2): de tio åtgärderna, fördelade efter granskningsmetod

Tekniskt verifierbara åtgärder (skanning räcker)

Organisatoriska åtgärder (kräver dokumentation)

Artikel 23: rapporteringskedjan som tillsynen alltid testar

Sanktionsavgifter: storleken som faktiskt biter

Sex frågor MCF kommer att ställa

Vad du kan testa själv den här veckan

Kör en NIS2-grundscan på 90 sekunder

Bevismatris: vad regulatorn vill se per åtgärd

Var Vakteye hjälper, och var det inte gör det

Bottom line

NIS2-evidens, inte bara checklistor

Få er gratis compliance-rapport

Relaterade artiklar

IMY:s cookie-tillslag: Vad ATG, Aller Media och Warner Music betyder för dig

NIS2 är här: Sveriges cybersäkerhetslag sedan januari 2026

EDPB 2026: Varför transparenstillsyn drabbar svenska företag

NIS2-revision i Sverige: vad MCF och PTS faktiskt granskar

Vad en NIS2-revision faktiskt är

Artikel 21(2): de tio åtgärderna, fördelade efter granskningsmetod

Tekniskt verifierbara åtgärder (skanning räcker)

Organisatoriska åtgärder (kräver dokumentation)

Artikel 23: rapporteringskedjan som tillsynen alltid testar

Sanktionsavgifter: storleken som faktiskt biter

Sex frågor MCF kommer att ställa

Vad du kan testa själv den här veckan

Kör en NIS2-grundscan på 90 sekunder

Bevismatris: vad regulatorn vill se per åtgärd

Var Vakteye hjälper, och var det inte gör det

Bottom line

NIS2-evidens, inte bara checklistor

Få er gratis compliance-rapport

Relaterade artiklar

IMY:s cookie-tillslag: Vad ATG, Aller Media och Warner Music betyder för dig

NIS2 är här: Sveriges cybersäkerhetslag sedan januari 2026

EDPB 2026: Varför transparenstillsyn drabbar svenska företag