NIS2 & Cybersäkerhetslagen: bevis, inte en checklista
Cybersäkerhetslagen (SFS 2025:1506) trädde i kraft den 15 januari 2026. Verksamhetsutövare som omfattas behöver visa de tekniska säkerhetsåtgärder som krävs enligt NIS2 artikel 21(2) — inte bara ange att en policy finns. Vakteye kör de skanningar som tar fram det beviset: exponerade tjänster, saknade säkerhetsheadrar, kända sårbarheter och felkonfigurationer, var och en kopplad till den specifika underartikeln i 21(2) den styrker.
Vem det är för
- Verksamhetsutövare som nyligen omfattas av cybersäkerhetslagen och anmäler sig till MCF
- Säkerhetschefer och IT-ansvariga som behöver bevis på artefaktnivå för ett granskningsunderlag, inte en egenförsäkran
- Organisationer som förbereder sig inför granskningar av beredskap för incidentrapportering enligt artikel 23
Vad Vakteye testar
- Grundläggande cyberhygien: säkerhetsheadrar, TLS-konfiguration, exponerade paneler och standardinloggningsuppgifter
- Exponering för kända sårbarheter via passiva CVE- och felkonfigurationskontroller
- Insyn i leverantörskedjan: tredjepartsskript och tjänster som en säkerhetsbedömning skulle behöva inventera
- Om säkerhetsfynd dokumenteras i en form som kopplas direkt till underpunkterna i NIS2 artikel 21(2)
Rättslig grund
NIS2 Article 21(2)
Kärnlistan över tekniska och organisatoriska säkerhetsåtgärder — riskanalys, cyberhygien, hantering av sårbarheter — som verksamhetsutövare som omfattas måste genomföra och kunna styrka.
NIS2 Article 23
Skyldigheten att rapportera incidenter — tidig varning, incidentanmälan och slutrapport — som förutsätter att man redan känner till sin tekniska exponering.
Cybersäkerhetslagen (SFS 2025:1506)
Sveriges nationella implementering av NIS2, i kraft sedan 15 januari 2026, med MCF (Myndigheten för civilt försvar) som utsedd behörig myndighet och nationell kontaktpunkt.
Exempel på fynd
Saknade grundläggande säkerhetsheadrar på en publik tjänst
Vad vi observerade
En skanning av en publik webbapplikation visar att headrarna Strict-Transport-Security och Content-Security-Policy saknas, vilket gör tjänsten mer exponerad för vanliga webbattackklasser.
Varför det spelar roll
NIS2 artikel 21(2)(e) kräver säkerhet vid anskaffning, utveckling och underhåll av nätverks- och informationssystem, inklusive sårbarhetshantering — vilket omfattar säker konfiguration av webbapplikationsytor. Saknade headrar är ett konkret, bevisbart glapp i det kravet — inte en tolkningsfråga.
FAQ
Redo att se vad din webbplats faktiskt gör?
Boka en fullständig beteendebaserad granskning — samma metodik som beskrivs ovan, körd mot hela din webbplats med ett fullständigt bevismaterial.
Boka en fullständig granskning