NIS2 i Sverige från 2026

NIS2 för er Microsoft 365-miljö, klart och rakt på sak.

NIS2-direktivet är nu svensk lag genom cybersäkerhetslagen 2026. För många små och medelstora bolag liknar det den GDPR-rusning som kostade 30-80 Tkr per år i konsultarvoden. Här är de tio områden ni faktiskt behöver hantera, och vad PIANOLA hanterar åt er löpande.

Boka genomgång av er miljö Tillbaka till PIANOLA

NIS2-områden i Microsoft 365

10 punkter

Det som måste hanteras enligt direktivet.

PIANOLA hanterar löpande

8 av 10

Två områden är ledningens egna processer (riskbeslut, leverantörsbedömning).

Dokumentationshjälp

10 av 10

Bevisartefakt och NIS2-rapport för alla områden.

Det vanligaste missförståndet

Microsoft skyddar plattformen, ni säkrar konfigurationen.

SaaS är inte automatiskt säkert. Microsoft 365 ger er verktygen. Konfigurationen, identiteten och datapolicyerna ansvarar ni för. PIANOLA bevakar dessa löpande och dokumenterar att ni gjort det.

De tio områdena

Vad NIS2 kräver, vad PIANOLA gör, vad ni gör. Ärligt uppdelat.

Punkt 1

Säker konfiguration (delat ansvar)

Microsoft skyddar plattformen. Ni måste säkra konfigurationen i er miljö. Det är där alla missar tar fart.

Det här fixar PIANOLA

Bevakar Secure Score löpande och översätter den till ett tydligt Riskindex på skala 0-100. PIANOLA Baseline lyfter er till en standardiserad startnivå med ett klick.

Det här gör ni själva

Beslut om vilken baseline-nivå ni följer. Dokumentation av ansvarsfördelning mellan ledning, IT och leverantör.

Punkt 2

Stark identitet och accesskontroll

MFA, Conditional Access och minst-privilegium-principen måste vara genomtänkt, inte bara påslaget.

Det här fixar PIANOLA

Tvingar MFA, blockerar äldre inloggningsprotokoll, flaggar inaktiva administratörskonton, granskar undantag i Conditional Access och hur starka era inloggningsmetoder är.

Det här gör ni själva

Bestäm vem som ska ha administratörsroller. Sätt upp PIM (Privileged Identity Management) om ni har behov av tidsstyrd åtkomst.

Punkt 3

Riskanalys

NIS2 kräver kontinuerlig riskidentifiering. Inte en årlig dokumentation som samlar damm i en pärm.

Det här fixar PIANOLA

Riskindex 0-100 uppdateras vid varje genomlysning, trenden visas över tid och de tre viktigaste åtgärderna lyfts fram med tydlig konsekvensbeskrivning.

Det här gör ni själva

Affärsrisk på övergripande nivå (kundrisk, omsättningspåverkan, varumärkesrisk). Det är ledningens bord.

Punkt 4

Incidentrapportering

Stora incidenter ska rapporteras till tillsyn inom 24 timmar enligt cybersäkerhetslagen.

Det här fixar PIANOLA

Varje förändring i miljön loggas med tidsstämpel. Underlaget är klart att bifogas en incidentrapport. Varje beslut och åtgärd går att följa bakåt i tiden.

Det här gör ni själva

Era egna playbooks för olika incidenttyper. Kontaktvägar till MSB. Vem som ringer vem och i vilken ordning.

Punkt 5

Dataskydd och klassificering

Känslig data måste skyddas. Ni måste veta var den ligger och vem som kan komma åt den.

Det här fixar PIANOLA

Bevakar extern delning, OAuth-samtycken till tredjepartsappar, anonyma fildelningslänkar och öppna SharePoint-bibliotek.

Det här gör ni själva

Sensitivity labels och DLP-policyer i Purview om ni har den licensen. Beslut om vad som är känslig data hos er.

Punkt 6

Loggning och spårbarhet

Granskningsloggar är ert minne. Utan dem kan ni inte bevisa vad som hänt eller inte hänt vid en tillsyn.

Det här fixar PIANOLA

Verifierar att Unified Audit Log är aktiverad och har rimlig kvarhållning. Flaggar om loggning inte täcker det den borde.

Det här gör ni själva

SIEM-integration om ni behöver djupare analys (Microsoft Sentinel eller liknande). Längre kvarhållning än standard om ert behov kräver det.

Punkt 7

Tekniska och organisatoriska säkerhetsåtgärder

Phishing-skydd, malware-skydd, vidarebefordring, backup. Det grundläggande som måste sitta.

Det här fixar PIANOLA

Bevakar Defender for Office, anti-phishing-policy, Safe Links, Safe Attachments, mail-flödesregler och vidarebefordring.

Det här gör ni själva

Backup-strategi (Microsoft 365 Backup eller tredjepart). Klient-management (Intune eller motsvarande). Endpoint-skydd på datorer och servrar.

Punkt 8

Ledningens personliga ansvar

Styrelseledamöter och VD är personligt ansvariga från och med att lagen trädde i kraft. Många missar att det är just det som är förändringen.

Det här fixar PIANOLA

Månadsrapporten är skriven i klartext, så ledningen ser samma siffror som IT. Sammanfattningen är formaterad så att den kan klistras in direkt i styrelseprotokollet.

Det här gör ni själva

Beslutsprotokoll. Ledningsutbildning i cybersäkerhet. Dokumenterad riskacceptans när ledningen aktivt valt att inte åtgärda en risk.

Punkt 9

Leverantörskedja

Era leverantörer är er risk. Också Microsoft, men framför allt tredjepartsappar i Microsoft 365.

Det här fixar PIANOLA

Granskar OAuth-appar med åtkomst till er miljö, kontrollerar om appens utgivare är verifierad och listar externa gäster med vilka rättigheter de har.

Det här gör ni själva

Avtal (DPA) med Microsoft och andra molnleverantörer. Leverantörsbedömning för era IT-leverantörer.

Punkt 10

Dokumentation och audit-beredskap

Det räcker inte att vara säker. Ni måste kunna bevisa det när tillsynen ringer.

Det här fixar PIANOLA

Underlag och spårbarhet för varje upptäckt och åtgärd, mappade mot rätt NIS2-artikel. Månadsrapporten kan exporteras direkt till revisor eller försäkringsbolag.

Det här gör ni själva

Ingenting extra. Det är själva poängen med PIANOLA, dokumentationen är inbyggd i arbetet, inte ett separat projekt.

Tillsynsmyndigheten ringer förr eller senare

Vi visar er var ni står idag, vad ni behöver ta först, och hjälper er bygga den dokumentation som tillsynsmyndigheten faktiskt vill se. Genomgången tar ungefär en timme.

Boka genomgång