Täcker ISO 27001-certifiering alla NIS2-krav?

Nej, inte helt. ISO 27001 täcker stora delar av NIS2:s krav på riskhantering och säkerhetsåtgärder, men NIS2 har specifika krav som standarden inte adresserar fullt ut – framförallt obligatorisk incidentrapportering till tillsynsmyndighet (24h/72h/1 månad) och sektorsspecifika krav. En ISO 27001-certifiering ger ändå ett starkt fundament och minskar det återstående gapet avsevärt.

Måste vi ha ISO 27001 för att följa NIS2?

Nej, ISO 27001-certifiering är inte ett krav för NIS2-efterlevnad. NIS2 kräver inte en specifik standard, utan att ni faktiskt har rimliga och proportionella säkerhetsåtgärder på plats. ISO 27001 är dock ett beprövat sätt att strukturera det arbetet och kan underlätta tillsynsprocessen.

Vilket ska vi prioritera – NIS2 eller ISO 27001?

Om ni omfattas av NIS2 är det inte ett val – lagen gäller och ni måste följa den. ISO 27001 är frivilligt. Det praktiska rådet är: uppfyll NIS2-kraven och använd ISO 27001 som ramverk för att göra det strukturerat. Ni kan certifiera er längs vägen om kunder eller partners kräver det.

Kan vi jobba med NIS2 och ISO 27001 samtidigt?

Absolut, och det är ofta den smartaste strategin. Mycket av det arbete som krävs för ISO 27001 – riskbedömning, säkerhetspolicys, kontinuitetsplanering, leverantörskontroll – uppfyller samtidigt NIS2-krav. En samordnad implementering undviker dubbelarbete och ger ett mer robust säkerhetsarbete.

Vad händer om vi inte följer NIS2?

Bristande NIS2-efterlevnad kan leda till sanktionsavgifter på upp till 10 miljoner euro eller 2% av global omsättning för väsentliga entiteter. Ledningspersoner kan även hållas personligt ansvariga. ISO 27001 har inga liknande lagstadgade sanktioner – konsekvenserna är istället affärsmässiga, exempelvis förlorade upphandlingar.

NIS2 vs ISO 27001 – vad är skillnaden?

NIS2 och ISO 27001 dyker upp i samma konversationer, på samma agendor och ibland i samma mening. Det är lätt att blanda ihop dem. Båda handlar om informationssäkerhet, båda ställer krav på riskhantering och båda kräver att ledningen tar ansvar.

Men det är fundamentalt olika saker.

NIS2 är ett EU-direktiv, i Sverige implementerat som Cybersäkerhetslagen. ISO 27001 är en frivillig internationell standard.

Det är skillnaden mellan att bli bötesfälld och att förlora en upphandling. Den här artikeln reder ut exakt vad som skiljer dem åt och hur de fungerar ihop.

Kort om NIS2

NIS2-direktivet är ett EU-direktiv om cybersäkerhet för samhällsviktiga verksamheter. I Sverige implementerades det i nationell rätt genom Cybersäkerhetslagen (CSL) som trädde i kraft 15 januari 2026.

Direktivet gäller för organisationer inom utpekade sektorer (energi, transport, hälso- och sjukvård, digital infrastruktur, bank och finans med flera) som överstiger storleksgränserna för väsentliga eller viktiga entiteter.

Kraven handlar om att ha rimliga säkerhetsåtgärder på plats, rapportera incidenter till tillsynsmyndigheten, och att ledningen aktivt tar ansvar för cybersäkerheten.

Kort om ISO 27001

ISO 27001 är en internationell standard för informationssäkerhet, utgiven av International Organization for Standardization (ISO).

Kärnan i standarden är att bygga ett ledningssystem för informationssäkerhet (ISMS), ett systematiskt ramverk för att identifiera, bedöma och hantera informationssäkerhetsrisker.

Standarden gäller för alla typer av organisationer, oavsett storlek eller bransch. Certifiering är frivillig men ger en formell kvalitetsstämpel som allt fler kunder och upphandlare kräver.

De viktigaste skillnaderna

	NIS2	ISO 27001
Typ	EU-direktiv (i Sverige: Cybersäkerhetslagen)	Internationell standard
Obligatorisk?	Ja, för berörda verksamheter	Nej, frivillig
Vem berörs?	Specifika sektorer och storlekar	Alla organisationer
Certifiering	Nej, tillsynsgranskning av myndighet	Ja, formellt certifikat från ackrediterat organ
Fokus	Cybersäkerhet och motståndskraft	Bred informationssäkerhet (ISMS)
Incidentrapportering	Obligatorisk till myndighet (24h/72h/1 månad)	Intern hantering, ingen extern rapporteringsplikt
Leverantörskrav	Uttryckligt krav i direktivet	Täcks indirekt via Annex A (5.19–5.23)
Sanktioner	Böter upp till 10 M€, personligt ansvar	Inga lagstadgade sanktioner
Tillsynsmyndighet	NCSC, MCF, sektorsspecifika myndigheter	Certifieringsorgan (ingen myndighet)
Ledningsansvar	Uttryckligt krav i Artikel 20	Krav på ledningens engagemang, ej personligt ansvar

Skillnad 1: Direktiv kontra standard

Det är den grundläggande distinktionen som allt annat följer av.

NIS2 är ett EU-direktiv som varje medlemsstat är skyldig att implementera i nationell lagstiftning. I Sverige sker det genom Cybersäkerhetslagen.

Om din organisation omfattas har du ingen valmöjlighet. Du lyder under svensk lag och tillsynsmyndigheter har befogenhet att granska, förelägga och bötfälla.

Ledningens ansvar är juridiskt reglerat. Styrelse och VD kan inte delegera bort det.

ISO 27001 är en standard. Du väljer själv om du vill följa den och om du vill certifiera dig.

Konsekvenserna av att inte följa den är affärsmässiga: förlorade kunder och utestängning från upphandlingar. Inte juridiska.

Skillnad 2: Vem berörs?

NIS2 gäller för en definierad uppsättning sektorer och storleksgränser. Antingen uppfyller din organisation kriterierna, och då gäller lagen, eller så gör den det inte.

ISO 27001 är bransch- och storleksneutral. En enskild konsult kan certifiera sig. Så kan ett globalt finanskonglomerat. Standarden skalas efter organisationens kontext.

Skillnad 3: Incidentrapportering

Det här är ett område där NIS2 är mycket mer specifik och krävande.

NIS2 kräver ett tredelat rapporteringsförlopp till tillsynsmyndigheten vid en betydande incident:

Inom 24 timmar: Tidig varning med bekräftelse att en incident inträffat
Inom 72 timmar: Incidentanmälan med initial bedömning av allvarlighetsgrad och påverkan
Inom 1 månad: Slutrapport med fullständig beskrivning, rotorsaksanalys och åtgärdsplan

Läs mer om hur NIS2-incidentrapportering fungerar i praktiken.

ISO 27001 kräver att organisationen har processer för att hantera informationssäkerhetsincidenter internt. Det finns inga krav på rapportering till externa myndigheter. Det täcks i stället av GDPR (vid personuppgiftsincidenter) och sektorsspecifik lagstiftning.

Skillnad 4: Leverantörskrav

Båda regelverken berör leverantörssäkerhet, men på olika sätt.

NIS2 har ett uttryckligt krav på att hantera cybersäkerhetsrisker i leverantörskedjan. Det räcker inte att ha bra intern säkerhet. Organisationen måste också kunna visa att man ställer säkerhetskrav på sina leverantörer.

Det gäller framförallt IT-leverantörer och andra som hanterar kritiska system eller data.

ISO 27001 adresserar leverantörssäkerhet via Annex A, kontroll 5.19–5.23. Det handlar om att ha en policy för leverantörsrelationer, ställa krav i avtal och följa upp regelbundet.

Kraven är principbaserade snarare än specifika. Gemensamt för båda regelverken är ändå att det inte räcker att ha ett avtal. Ni måste faktiskt veta vilken säkerhetsnivå era leverantörer håller.

Skillnad 5: Sanktioner

Det är här skillnaden blir mest konkret.

NIS2 har sanktioner som liknar GDPR:s:

Väsentliga entiteter: Upp till 10 miljoner euro eller 2% av global omsättning
Viktiga entiteter: Upp till 7 miljoner euro eller 1,4% av global omsättning

Utöver böter kan ledningspersoner vid upprepade eller allvarliga brister förbjudas att inneha ledningsfunktioner. Det är ett av de skarpaste verktygen i regelverket.

ISO 27001 har inga lagstadgade sanktioner. Konsekvenserna av att tappa en certifiering eller aldrig skaffa sig en är affärsmässiga: förlorade upphandlingar, missade partnerskap, lägre förtroende vid kunddialoger.

Hur NIS2 och ISO 27001 kompletterar varandra

Trots skillnaderna finns det en stark synergi mellan de två. I praktiken är de mer kompatibla än de är konkurrerande.

ISO 27001 ger den strukturella grunden som NIS2 i princip förutsätter men inte specificerar.

NIS2 kräver att organisationer har ett systematiskt säkerhetsarbete, regelbundna riskbedömningar och dokumenterade processer. Det är exakt vad ett ISMS enligt ISO 27001 levererar.

Konkret innebär det att en organisation som implementerat ISO 27001 redan uppfyller stora delar av NIS2:s krav:

Riskhantering: ISO 27001 kräver en strukturerad riskbedömning. Det uppfyller NIS2:s krav på riskanalys.
Säkerhetsåtgärder: ISO 27001:s Annex A täcker tekniska och organisatoriska kontroller som direkt svarar mot NIS2-krav.
Kontinuitetsplanering: ISO 27001 kräver kontinuitetshantering. NIS2 kräver det också.
Ledningens engagemang: Båda regelverken ställer krav på att ledningen äger säkerhetsarbetet.

Det som ISO 27001 inte täcker fullt ut för NIS2:

Obligatorisk incidentrapportering till tillsynsmyndighet med specifika tidsfrister
Sektorsspecifika krav (t.ex. inom energi, hälsa och transport)
Det uttryckliga kravet på att ledningen ska genomgå säkerhetsutbildning

Vilket ska ni fokusera på?

Det beror på er situation:

Om ni omfattas av NIS2: Lagen gäller redan. Börja med en gap-analys mot NIS2-kraven och se ISO 27001 som ett strukturerande ramverk för implementeringen, inte som ett alternativ.

Om ni inte omfattas av NIS2 men era kunder eller partners ställer säkerhetskrav: ISO 27001-certifiering ger er en trovärdig kvalitetsstämpel. Det är en investering i konkurrensförmågan.

Om ni vill göra det smart: Implementera ett ISMS enligt ISO 27001 och bygg in NIS2-specifika krav ovanpå det, framförallt incidentrapportering och leverantörskrav. Certifiera er när ni är redo. Ni gör arbetet en gång men uppfyller båda regelverken.

Det är också värt att notera att NIS2 inte är statisk. Tillsynsmyndigheterna förväntas öka sin aktivitet under 2026 och framåt.

Att ha ISO 27001-strukturen på plats gör det lättare att visa compliance vid en tillsynsgranskning. Dokumentationen och processmognaden är redan på plats.

Sammanfattning

NIS2 och ISO 27001 är inte varandras konkurrenter utan komplement. NIS2 sätter ribban för vad som krävs av samhällsviktiga verksamheter. ISO 27001 ger metodiken för att nå dit.

Den organisation som förstår relationen mellan de två kan bygga ett säkerhetsarbete som är både lagkompliant och affärsmässigt hållbart, utan att göra dubbelt arbete.