En tjänst från LUMRA · För kommun och offentlig sektor

PIANOLA, NIS2-redo Microsoft 365 för kommun och offentlig verksamhet.

Kommuner och offentliga verksamheter omfattas av NIS2 sedan 2025. Det räcker inte att ha köpt en säkerhetsprodukt, det måste finnas dokumenterade åtgärder och löpande uppföljning. PIANOLA gör arbetet, ni får bevisen. Allt på svenska.

Läs om LUMRA Boka genomgång

Tjänsten kan upphandlas, transparent prissatt och drivs av LUMRA, ett svenskt bolag. Datan stannar inom EU.

Skräddarsytt för er bransch

Branschperspektiv

Tre saker vi ofta hittar hos kommuner

Här är de vanligaste luckor som dyker upp i NIS2-mognadsmätningar i den offentliga sektorn.

Inga eller svaga åtkomstpolicys för administratörer

Conditional Access används inte alls eller bara delvis. Administratörer kan logga in från okontrollerade enheter, oavsett tid och plats.

Mejlsäkerhet följer inte SE-DMARC-rekommendationerna

DMARC-policy står på "none". Phishing skickas dagligen i kommunens namn utan att blockeras. SPF och DKIM är ofta också felkonfigurerade.

Inga rutiner för incidenthantering inom 72 timmar

NIS2 kräver tidig rapportering. Det finns sällan en logg som kan följas upp på vad som skedde, när och hur.

Dokumentation som branschen behöver

NIS2 SFS 2025:1506 PIANOLA dokumenterar er säkerhetsmognad mot NIS2 cybersäkerhetskrav, automatiskt vid varje genomlysning.

CIS Controls v8 Vi mappar varje finding mot CIS-kontroll så ni kan föra in det i revisionsarbetet.

MSB:s vägledning för informationssäkerhet Åtgärderna är direkt mappade mot MSB:s rekommendationer för kommun och region.

Upphandlingsdokumentation PIANOLA-rapporten kan användas som underlag i upphandlingar för att visa säkerhetsprofil.

Verkligheten i Microsoft 365

Ni tror ni har koll. Men hur vet ni egentligen?

Verksamheter som har anlitat IT-konsulter, kört Secure Score-tipsen och sagt "Microsoft sköter detta" tror oftast att de är säkra. PIANOLA är de extra glasögonen som visar vad som faktiskt pågår, kontinuerligt och inte vid revision.

En genomlysning är en stillbild. En dag senare har någon ändrat en policy, beviljat en ny app eller bjudit in en gäst, och bilden stämmer inte längre. Dokumentation utan löpande uppdatering åldras lika snabbt. Säkerhet rör sig hela tiden, och PIANOLA håller bilden levande.

Vad ledningen ofta tror

"Vi har ju MFA på"
"Microsoft sköter cybersäkerhet"
"Vår IT-konsult har koll"
"Vi gör en revision en gång om året"

Vad PIANOLA mäter

MFA krävs ibland inte ens för admins
Microsoft levererar verktyg, inte konfiguration
Konsulten såg läget i mars, inte idag
Drift sker varje vecka, inte vid revision

Exempelbild

Riskindex via PIANOLA · 4 miljöer

Vård & omsorg, ~80 anställda

Vanligt mönster i branschen: MFA inte enforced som policy, externa länkar utan kontroll, gäster som inte granskats på månader.

Akut åtgärd

Logistik, ~150 anställda

Trots E5-licens kan PIANOLA hitta: MFA inte enforced på admins, OAuth-samtycke öppet, svaga DMARC-policys.

Förbättringsområde

Bygg & anläggning, ~50 anställda

Efter en konsultinsats kan miljön drifta iväg. PIANOLA fångar typiskt nya öppna åtgärder kring delning och appsamtycke månaderna efter.

Stabilt med drift kvar

Konsultverksamhet, ~30 anställda

Den som jobbar löpande har bara mindre justeringar kvar, typiskt dokumentation och kvartalsgranskning.

Bra grund

Riskindex 0–100. Färgen säger var ledningen bör titta först. Bilden visar typiska mönster i fyra olika branscher, inte specifika kunder. PIANOLA är de extra glasögonen, varje vecka och inte vid revision.

Vad vi gör annorlunda

Andra verktyg larmar. PIANOLA agerar.

De flesta säkerhetslösningar fyller IT-inkorgen med varningar och lämnar utredningen åt er. Det är där säkerhetsarbetet brukar fastna, inte i upptäckten utan i allt som följer efter. PIANOLA stänger kedjan.

Den vanliga vägen

Larmen lämnas till er

Inkorgen fylls hela tiden. Varningar från olika system, dygnet runt.
Bedömningen tar tid. Någon måste reagera, även mitt i natten.
Utredningen görs manuellt. Logg-letande, samband, lägesbedömning, allt på egen hand.
Det är teamet som tar smällen. Mängden vinner alltid till slut.

PIANOLAs väg

Besluten är redan tagna

PIANOLA agerar själv. Besluten körs automatiskt, med 24-timmars fönster där ni kan ångra.
Vi mäter löpande. Nio säkerhetsområden i Microsoft 365, hela tiden.
Rapporten kommer i mejlen. En lägesbild varje månad, inte en larmflod varje natt.
Ni får tid att tänka. Säkerheten kräver inte längre att någon vakar.

Skillnaden mellan att jaga säkerheten och att äga den.

Lägesbilden på två sekunder

En del av det ledningen ser i rapporten. Tillsammans ger de tre rutorna en snabb bild av hur miljön mår. Resten finns att gå djupare in i när det behövs.

Öppna avvikelser

Vad som ligger öppet just nu

Fynden prioriteras efter allvarlighetsgrad, från kritiska risker till lägre prioriterade observationer.

Kritisk

Hög

Medel

Låg

Toppåtgärder

Det som bör tas först

Med motivering, väntad effekt och förslag på ansvarig.

1 Begränsa extern delning

2 Stäng äldre inloggningsprotokoll

3 Återkalla osäkra appmedgivanden

Status per område

Var fokus ligger just nu

Säkerhetsläget per område. Grönt = under kontroll, gult eller rött = något att titta på.

Identitet och MFA OK

E-post och vidarebefordring 2 att se över

Delning i SharePoint OK

Appar och OAuth-samtycken 1 prioriterad

Endpoint och Defender OK

En rapport, fyra revisorer

Samma underliggande kontrolldata, uttryckt på det språk varje ramverk använder: NIS2 för regelefterlevnad, CIS för teknisk härdning, NIST för riskstyrning och ISO för ledningssystem. Oavsett vem som ställer frågan kan ni svara med samma rapport.

EU · Direktiv

NIS2

10 åtgärdspunkter i Art. 21.2. Bevisrapport per punkt visar exakt var ni står inför Tillsynsmyndigheten.

Riskhantering Art. 21.2.a

Åtkomstkontroll Art. 21.2.d

MFA och autentisering Art. 21.2.j

+ 7 punkter till Art. 21.2

CIS · Teknisk

CIS Controls v8

Åtta prioriterade kontrolldomäner mappade. Visar vilka säkerhetsbaseliner ni faktiskt uppfyller i Microsoft 365.

Datatillgångar CIS 3

Konton och behörigheter CIS 5-6

E-post och webb CIS 9

+ 5 domäner till CIS 4-17

NIST · Strategi

NIST CSF 2.0

Fem grundfunktioner mappade direkt mot er Microsoft 365-miljö. Det språk ledning och styrelse förväntar sig.

Govern GV

Identify · Protect ID · PR

Detect · Respond DE · RS

Recover RC

ISO · Ledningssystem

ISO 27001:2022

Annex A-kontroller mappade per organisatorisk och teknisk domän. Ger spårbarhet inför ISMS-revision.

Identitetshantering A.5.16

Åtkomstkontroll A.5.15

Säker konfig A.8.9

+ fler Annex A A.8.x

Oavsett om det är er IT-partner, revisor eller försäkringsgivare som frågar, svarar ni från samma underlag. PIANOLA mappar automatiskt 109 säkerhetskontroller vid varje genomlysning, utan att ni behöver göra en ny utredning för varje ramverk.

NIS2 från 2026, er stora drivkraft just nu

Cybersäkerhetslagen ställer nya krav på er Microsoft 365-miljö

De tio områdena direktivet kräver, vad PIANOLA bevakar löpande och vad som fortfarande är ledningens bord. Ärligt, klart och rakt på sak.

Samma underlag mappas också mot CIS Controls, NIST CSF och ISO 27001. Se ramverken längre ner.

Läs vår NIS2-genomgång

Om bolaget

LUMRA står bakom PIANOLA

LUMRA är ett svenskt IT-säkerhetsbolag som bygger PIANOLA. Vi är specialiserade på Microsoft 365-säkerhet och vänder oss till små och medelstora svenska bolag samt deras IT-partners.

Istället för tunga rapporter som samlar damm håller vi dialogen levande mellan ledning, IT och partner året runt. PIANOLA är hur vi gör det i praktiken: regelbundna rapporter, en tydlig lägesbild och åtgärder ni kan låta tjänsten genomföra direkt eller hantera själva.

BolagLUMRA
TjänstPIANOLA
FokusMicrosoft 365-säkerhet
MålgruppSvenska små och medelstora bolag
Kontakthej@lumrait.se

Företaget lumrait.se Om LUMRA, incidentkalkyl, kontakt och bokning av samtal. Befintlig kund Logga in på PIANOLA För er som redan är kund och vill se läget i er egen Microsoft 365-miljö.

PIANOLA mappar mot