Book a demo
Book a demo
Support

Hur ITSM samspelar med NIS2, DORA, CER och CRA

Diagram som visar hur ITSM-ramverkets processer kopplar till EU-regelverken NIS2, DORA, CER och CRA inom områden som incidenthantering, riskhantering och affärskontinuitet

EU:s regelverk för cybersäkerhet och kritisk infrastruktur ställer höga krav på organisationer men många missar att svaret på en stor del av dessa krav redan finns i deras befintliga ITSM-processer. Den här artikeln förklarar vad NIS2, DORA, CER och CRA innebär, varför de kommit till, och hur IT Service Management fungerar som ett praktiskt ramverk för att möta kraven.

Snabbfakta: Fyra regelverk – ett gemensamt mönster

Regelverk

Vem berörs

ITSM-koppling

Status

NIS2

Samhällsviktig & digital infrastruktur

Incident mgmt, riskhantering, kontinuitet

Gäller nu

DORA

Finanssektorn

Incident mgmt, leverantörsstyrning, testning

Gäller nu

CER

Kritisk infrastruktur

Kontinuitet, krishantering, incidentrapportering

Gäller nu

CRA

Tillverkare av digitala produkter

Sårbarhetsstyrning, patchhantering, SBOM

Fas-in 2026–2027

 

Varför alla dessa regelverk just nu?

Geopolitisk instabilitet, ökad cyberbrottslighet och kritiska incidenter i samhällsviktig infrastruktur har tvingat EU att agera. Regelverken NIS2, DORA, CER och CRA är alla delar av samma strategiska satsning, att göra Europa mer motståndskraftigt digitalt och fysiskt.

Gemensamt för alla fyra är att de inte nöjer sig med teknik. De kräver processer, dokumentation, ansvar och kontinuerlig förbättring – vilket är precis vad ITSM handlar om.

NIS2 – Nätverks- och informationssäkerhet

Vad är det?

NIS2 (Network and Information Security Directive 2) är EU:s direktiv för cybersäkerhet i samhällsviktig verksamhet. Det ersatte det äldre NIS-direktivet 2023 och utökar kraftigt vilka organisationer som omfattas.

Berörs din organisation? NIS2 gäller för organisationer inom sektorer som energi, transport, hälso- och sjukvård, offentlig förvaltning, digital infrastruktur, vatten och livsmedel – med fler än 50 anställda eller mer än 10 miljoner euro i omsättning.

Vad kräver NIS2?

NIS2 – centrala krav

•       Riskhantering och säkerhetsåtgärder proportionerliga till verksamhetens risk

•       Incidentrapportering: allvarliga incidenter ska rapporteras inom 24 timmar (preliminärt) och 72 timmar (fullständigt)

•       Kontinuitetsplanering och krishantering

•       Leverantörs- och kedjesäkerhet

•       Ledningsansvar

Kopplingen till ITSM

NIS2:s krav är i stor utsträckning processuella och ITSM är ett processkontrollramverk. Incidenthantering, problemhantering, konfigurationshantering (CMDB) och kontinuitetsplanering är alla etablerade ITSM-discipliner som direkt adresserar NIS2-krav.

  • Incidenthantering säkerställer att allvarliga incidenter identifieras, klassificeras och eskaleras enligt direktiva tidsfrister
  • CMDB ger den systemöverblick som behövs för riskbedömning
  • Kontinuitetsprocedurer (t.ex. återställningsplaner) uppfyller kravet på motståndskraft
  • Leverantörsdatabaser och avtalsstyrning hanterar kedjesäkerhet

DORA – Digital operativ motståndskraft för finanssektorn

Vad är det?

DORA (Digital Operational Resilience Act) är EU-förordningen som gäller för finanssektorn. Till skillnad från NIS2 är DORA en förordning – den gäller direkt i alla EU-länder utan nationell implementering.

Berörs din organisation? Banker, försäkringsbolag, värdepappersbolag, betalningsinstitut, kreditvärderingsinstitut, crowdfunding-plattformar och deras kritiska IT-leverantörer (s.k. CTPP – Critical Third-Party Providers).

Vad kräver DORA?

DORA – centrala krav

•       ICT Risk Management Framework – ett dokumenterat ramverk för IT-riskhantering

•       Klassificering och rapportering av allvarliga IT-incidenter till tillsynsmyndigheten

•       Regelbunden Digital operational resilience testing

•       Styrning av tredje parts IT-leverantörer med avtalskrav och riskklassificering

•       Informationsdelning kring cyberhot med branschkollegor

Kopplingen till ITSM

DORA är på många sätt det mest ITSM-täta regelverket av de fyra. Nästan varje artikel i DORA kan mappas mot en etablerad ITSM-process.

  • ICT Risk Management kräver ett strukturerat sätt att hantera risker kopplade till IT-system – direkt mappat mot ITSM:s riskhanteringsprocess och CMDB
  • Incident classification och reporting kräver tydliga kategorier, svårighetsgradsbedömningar och eskaleringsvägar – kärnan i incident management
  • Leverantörsstyrning kräver ett register över alla kritiska IT-leverantörer med riskbedömning – direkt stöd från ITSM:s supplier management

  • Resilience testing kräver planering, uppföljning och dokumentation – hanteras naturligt i ITSM:s change och release management

CER – Kritisk infrastruktur och fysisk motståndskraft

Vad är det?

CER (Critical Entities Resilience Directive) är EU:s direktiv för att skydda samhällskritisk infrastruktur, inte bara digitalt utan även fysiskt. 

Berörs din organisation? Organisationer inom energi, transport, bank, dricksvatten, avloppsvatten, digital infrastruktur, offentlig förvaltning och rymdsektorn.

Vad kräver CER?

CER – centrala krav

•       Riskbedömning av hot mot kritisk infrastruktur (fysiska och digitala)

•       Åtgärder för att förhindra, begränsa och återhämta sig från störningar

•       Incidentrapportering till nationella myndigheter

•       Bakgrundskontroller av personal i känsliga roller

•       Samverkan mellan offentlig och privat sektor

Kopplingen till ITSM

CER fokuserar mer på kontinuitet och resiliens än på cybersäkerhet specifikt. ITSM:s ITSCM (IT Service Continuity Management) och Business Continuity Management är de primära processerna som möter CER:s krav.

  • Kontinuitetsplaner för IT-tjänster ger stöd för att upprätthålla samhällsviktiga funktioner vid störning
  • Incidenthanteringsprocessen säkerställer snabb rapportering och strukturerad hantering av allvarliga händelser
  • Change management minimerar risken för oplanerade avbrott i kritisk infrastruktur

CRA – Cybersäkerhet för digitala produkter

Vad är det?

CRA (Cyber Resilience Act) är EU:s förordning som ställer krav på säkerhet i digitala produkter och tjänster, från industriell IoT till konsumentprodukter med nätverksanslutning. 

Berörs din organisation? Tillverkare, importörer och distributörer av produkter med digitala element – hårdvara, mjukvara och allt som kommunicerar i ett nätverk.

Vad kräver CRA?

CRA – centrala krav

•       Security-by-design och security-by-default i produktutvecklingen

•       Sårbarhetsstyrning under produktens hela livscykel

•       SBOM (Software Bill of Materials) – en förteckning över alla mjukvarukomponenter

•       Rapportering av aktivt utnyttjade inom 24 timmar

•       Säkerhetsuppdateringar och patchhantering under minst fem år

Kopplingen till ITSM

CRA är det regelverk som tydligast kräver ett samspel mellan produktutveckling och ITSM. Sårbarhetsstyrning, patchhantering och incidentrapportering är ITSM-processer som direkt stödjer CRA-efterlevnad.

  • Vulnerability management och patch management är etablerade ITSM-processer som CRA kräver formaliseras och dokumenteras
  • CMDB och SBOM kompletterar varandra – en välskött konfigurationsdatabas är grunden för att hålla koll på mjukvarukomponenter
  • Incidenthanteringsprocessen ger struktur för den rapporteringsskyldighet som CRA kräver vid aktivt utnyttjade sårbarheter

ITSM som nav i regelefterlevnaden

Det är lätt att se NIS2, DORA, CER och CRA som separata efterlevnadsprojekt med olika krav, tidslinjer och ansvarsområden. Men det är en kostsam och ineffektiv approach.

Ser man istället på regelverken som ett sammanhängande krav på systematisk IT-styrning, framträder ett tydligt mönster. Nästan alla krav kan mötas av välimplementerade ITSM-processer.

De sex ITSM-processer som bär störst del av bördan

  • Incident Management – rapportering, klassificering och eskalering enligt regelstyrda tidsfrister
  • Problem Management – rotorsaksanalys och systematisk minskning av återkommande incidenter
  • Change & Release Management – kontrollerade förändringar som minimerar risk
  • Configuration Management (CMDB) – fullständig systemöversikt som underlag för riskbedömning
  • IT Service Continuity Management – planer och förmågor för att hantera allvarliga störningar
  • Supplier Management – styrning och riskklassificering av tredjepartsleverantörer

Organisationer som redan arbetar strukturerat med ITSM har ett försprång. De behöver sällan bygga nytt – de behöver dokumentera, finkalibrera och eventuellt utöka sina befintliga processer för att möta regelverkens specifika krav.

För organisationer som ännu inte infört strukturerad ITSM är regelverken i sig ett starkt argument: det är inte längre valbart att arbeta osystematiskt med IT-styrning.

Vanliga frågor

Måste vi implementera alla fyra regelverk?

Inte nödvändigtvis. Vilka som gäller beror på er sektor och storlek. Många organisationer berörs av NIS2 och eventuellt CER, medan DORA är sektorsspecifikt för finans och CRA primärt gäller tillverkare av digitala produkter.

Vi har redan ITIL – räcker det?

ITIL är ett utmärkt ramverk och täcker de processer som regelverken kräver. Men ITIL i sig ger inte regelefterlevnad – det avgörande är att processerna faktiskt är implementerade, dokumenterade och att bevis på efterlevnad kan uppvisas för tillsynsmyndigheter.

Vad är den vanligaste bristen vi ser?

Att processer finns på papper men inte i praktiken. Regelverken kräver demonstrerbar efterlevnad – loggning, dokumentation, spårbarhet och rapporter. Ett modernt ITSM-verktyg som automatiserar dessa delar av dokumentationen är ofta skillnaden mellan att klara en granskning och att inte göra det.

Var börjar vi?

Börja med en gap-analys: kartlägg vilka regelverk som gäller er, och vilka av era befintliga ITSM-processer som redan möter kraven. Det ger en prioriterad handlingsplan utan att uppfinna hjulet på nytt.

Henrik Resare

Commercial Product Manager
henrik.resare@easit.com
070-249 36 06

Scroll to the top