Januari 2026

Bygg en incidenthanteringsplan som uppfyller NIS2

NIS2 kräver inte bara tekniska kontroller utan också förmåga att hantera och rapportera incidenter i strukturerade steg. En incidenthanteringsplan som lever i pärmens digitala kopia räcker sällan: den måste vara kopplad till verkliga kontaktvägar, loggkapacitet och beslutsregler som gäller även natt och helg. Här visar vi hur ni bygger planen så att den både möter regulatoriska förväntningar och fungerar i er Microsoft miljö.

Tre rapporteringsnivåer: tidig varning, full anmälan och slutrapport

Strukturen följer ofta tre steg: en tidig varning inom ungefär tjugofyra timmar när ni ser tecken på en allvarlig händelse, en mer komplett anmälan inom ungefär sjuttiotvå timmar när omfattning och påverkan klarnar, samt en avslutande rapport inom ungefär en månad med lärdomar och åtgärder. Planen ska ange vem som tolkar om en signal är “tillräckligt allvarlig”, hur juridik involveras och vilket underlag som sparas för revision.

Process och roller som tål stress

Skapa en tablå med tydliga roller: incidentledare, teknisk utredare, kommunikationsansvarig och kontaktperson mot myndighet. Öva scenarier där källor är ofullständiga, till exempel krypterad endpoint utan nätverkslogg. Dokumentera eskalering till ledning och när extern incident response firma tillkallas. Säkerställ att beslut loggas tidsstämplade för att visa att ni agerat inom frister.

Microsoft verktyg som stödjer kedjan

Microsoft Sentinel samlar signaler från molnet och endpoint och kan automatiskt skapa ärenden med spårbara händelse ID. Defender XDR ger djupare vägar för utredning och isolering av enheter. Purview och audit loggar i Microsoft 365 underlättar när incidenten berör data i Exchange, SharePoint eller Teams. Koppla playbooks i Sentinel till Teams kanaler för snabb koordinering, men granska att åtkomst till playbooks följer least privilege.

Underhåll och mätning

Uppdatera planen efter varje större övning eller verklig händelse. Mät tid till eskalering, tid till första tekniska åtgärd och andel ärenden där rapporteringsfrister hölls. Nordvide kan bistå med att översätta planen till konkreta automationer och utbildning för er SOC och er IT drift.

Mallar som fungerar när klockan tickar

Skapa färdiga utkast för myndighetsmail med plats för tidpunkt, berörda system, antal berörda personer och pågående åtgärder. Utkasten ska kunna fyllas i av jour utan att juridik måste skriva från scratch klockan två på natten.

Lägg även in en enkel beslutslista för när händelsen ska kommuniceras internt eller externt, kopplat till er GDPR rutin och till kundavtal. På så sätt minskar risken att olika kanaler säger emot varandra när pressen ringer samtidigt som tekniker fortfarande undersöker loggar.