NIS2 vs ISO 27001: vad kräver kunderna egentligen?
Många tror att en ISO 27001-certifiering löser NIS2. Den hjälper, men de är inte samma sak, och kunder ber ofta om båda.
Skillnaden i korthet
ISO 27001 är en frivillig internationell standard för ett ledningssystem för informationssäkerhet. NIS2 (i Sverige Cybersäkerhetslagen, SFS 2025:1506, i kraft 15 januari 2026) är bindande lag med specifika krav på riskhantering, incidentrapportering och leverantörskedjesäkerhet.
Var de överlappar
Ett moget ISO 27001-system täcker en stor del av NIS2:s tekniska och organisatoriska åtgärder. Har ni redan certifiering är ni en bra bit på väg.
Var ISO 27001 inte räcker
- Incidentrapportering: NIS2 har specifika tidsfrister (tidig varning inom 24 timmar, rapport inom 72 timmar) mot myndighet.
- Leverantörskedjan: NIS2 artikel 21 ställer uttryckliga krav som kunder skickar vidare till er.
- Bevisbarhet: kunden vill ofta se konkret, verifierbar bevisning, inte bara ett certifikat.
Vad kunder ber om i praktiken
Certifikat om ni har det, plus ifyllt säkerhetsformulär, incidentrutiner och specifik bevisning för just deras krav. Ett svar utan dokumentation är i praktiken inte bevisbart.
Så hjälper PowerQuant
- Gör det gratis scope-testet på 2 minuter och se var era luckor finns.
- Quick Scan (fast pris): en signerad readiness-rapport som komplement till en certifiering.
Vägledande översikt, inte juridisk rådgivning. Verifierat mot direktiv (EU) 2022/2555 och Cybersäkerhetslagen (SFS 2025:1506) per 1 juli 2026.