Vi har länge levt i en tid där "Best Effort" har varit gott nog. Vi har gjort vårt bästa, patchat när vi hunnit och litat på att våra leverantörer har koll. Men med införandet av NIS2, Cyber Resilience Act (CRA) och den nya Cybersäkerhetslagen förändras spelplanen i grunden för hur vi behöver ta hand om våra system.
Lagen kräver nu att vi går från att anta att vi är säkra, till att kunna bevisa det – inom 24 timmar.
Dessa nya krav kräver i princip att vi lämnar gammal teknik bakom oss.
För många beslutsfattare kan den nya lagstiftningen kännas som en tung administrativ börda. Hot om sanktionsavgifter och personligt ansvar för ledningen skapar lätt oro.
Vi försöker istället vända på perspektivet genom att se detta som en enorm möjlighet. De krav som lagen ställer – på spårbarhet, kontroll och snabbhet – är exakt samma egenskaper som krävs för att bygga en Digitalt suverän, oberoende, modern, effektiv och konkurrenskraftig digital verksamhet.
Att följa lagen handlar inte om byråkrati. Det handlar egentlige om modernisering och om att ständigt arbeta med att förbättra hur man levererar och tar hand om sina system.
Låt inte era leverantörers ovilja att modernisera begränsa er.
Varför "gammal teknik" inte längre håller juridiskt
Den traditionella driftsmodellen, där vi kör applikationer på virtuella servrar (VPS) som underhålls manuellt, lider av ett fundamentalt problem: Config Drift. Över tid förändras serverns konfiguration genom manuella ingrepp och patchar. Ingen vet exakt vad som körs vid varje givet tillfälle (vilket de nya lagarna kräver).
I en sådan miljö är det omöjligt att svara ja på frågan: "Kan vi bevisa exakt vilken kod och vilka sårbarheter som fanns i produktion klockan 14:00 i lördags?".
- NIS2 kräver systematiskt riskarbete och säkerhetskonfigurering där onödiga funktioner tas bort.
- CRA kräver att ni har full kontroll på alla komponenter (SBOM) och kan garantera att produkter är säkra under hela sin livscykel.
En "rörlig" VPS server kan aldrig erbjuda den bevisbörda som lagen kräver. Det är här moderniseringen kommer in. Genom att gå över till låsta, versionshanterade och signerade containrar skapar vi oföränderliga artefakter. Säkerhet blir en inbyggd garanti, inte en eftertanke.
När leveranskedjan brister: Från Log4j till det dolda mörkertalet
Incidenter som Log4j visade med all önskvärd tydlighet vad vi kallar systemisk risk: när en sårbarhet i en liten, djupt inbäddad komponent sätter hela ekosystem i gungning.
Även om vi läser om de stora incidenterna är mörkertalet enormt. Problemet är inte de attacker vi ser, utan de vi inte ser.
En modern applikation består ofta av 80–90 % Open Source-beroenden som ni inte själva skrivit, men som ni enligt CRA nu är juridiskt ansvariga för.
I många fall vet organisationer inte ens om att de använder en sårbar komponent. Utan en korrekt inventering sker intrång utan att det någonsin upptäcks eller rapporteras.
CRA och NIS2 tvingar upp dessa risker till ytan. Ni måste ha kontroll på hela kedjan, inte bara er egen kod.
CRaaS: Bevisfabriken som tjänst
För att möta dessa krav behövs moderna molnapplikationer, automation och kompetens.
På Digitalist är detta vår kärnleverans.
När andra leverantörera säljer system och uppdateringar, så levererar vi ett verksamhetssystem med full spårbarhet över de applikationer vi förvaltar.
Vi kallar det CRaaS – Cyber Resilience as a Service.
enom att applicera ett styrningslager ovanpå era moderna applikationer automatiserar vi bevisinsamlingen med en strikt princip: vi gissar aldrig.
- Härdning & Minimering: Vi tar bort onödig kod och funktioner (enligt NIS2 kap 3 § 34) för att minska attackytan radikalt.
- SBOM som ritning, inte facit: En avgörande skillnad i vår metodik är att SBOM (Software Bill of Materials) skapas innan bygget (leveransen), baserat på deklarerad kod och låsta beroenden. Vi förlitar oss inte på att scripta fram en innehållsförteckning i efterhand genom att skanna en färdig binär. Vi definierar ingredienserna först, vilket garanterar att kartan (SBOM) alltid stämmer överens med verkligheten.
- Signering & Spårbarhet: Varje godkänd SBOM och artefakt signeras kryptografiskt. Detta möter CRA:s krav på en obruten, manipuleringsskyddad leveranskedja.
- Human-in-the-Loop: AI hittar nålen i höstacken, men våra experter bedömer risken. Det filtrerar bort brus och ger ledningen beslutsunderlag de faktiskt kan agera på.
Resultatet? En Compliance View där ledningen i realtid kan se status mot lagkraven och ISO-standarder.
Tidslinjen du inte kan förhandla bort
Det är lätt att tro att detta ligger långt fram i tiden, men deadlines närmar sig snabbt.
- 15 Januari 2026 (NIS2): Lagen träder i kraft. Krav på systematiskt riskarbete och ledningens utbildning gäller. (NU)
- September 2026 (CRA): Rapporteringsplikten startar. Ni måste kunna rapportera aktivt utnyttjade sårbarheter inom 24 timmar. Utan automatiserad övervakning (låg MTTD) är detta i praktiken omöjligt.
- Sent 2027 (CRA): Total compliance. Produkter ska vara "Secure-by-Default" vid release
Slutsats: Vänd krav till konkurrensfördel
Vi står inför ett skifte. De som klamrar sig fast vid manuell "Best Effort" och gammal teknik kommer att drunkna i administration och risk. Ni riskerar dessutom att bryta mot lagen med stora sanktioner som konsekvens, men framförallt den stora skadan som ett intrång innebär.
De som däremot ser NIS2 och CRA som startskottet för modernisering kommer inte bara att följa lagen – de kommer att leverera bättre, säkrare och snabbare tjänster till sina användare.
