e-Check.se – digital egenkontroll
Kontroller5 minuters läsning

Varför kontroller behövs för NIS2, ISO och AI Act

Varför kontroller, uppföljning och evidens behövs för NIS2, ISO och AI Act Det spelar nästan ingen roll vilket regelverk eller vilken standard man tittar på i dag. Förr eller senare landar man i samma fråga: hur vet ni att arbetet faktiskt görs, följs upp och går att visa upp? Det gäller oavsett om ni arbetar med NIS2, den svenska cybersäkerhetslagen, ISO 27001, ISO 9001, ISO 14001 eller AI Act. Regelverken ser olika ut på ytan, men de bygger i praktiken på samma logik: ansvar ska vara tydligt, risker ska hanteras, arbetet ska följas upp och det ska finnas någon form av evidens när någon frågar.

Samma grundidé, olika språk

Det är lätt att se NIS2, cybersäkerhetslagen, ISO-standarder och AI Act som separata spår. Ett för IT-säkerhet, ett för kvalitet, ett för miljö, ett för AI. Men i vardagen är skillnaden ofta mindre än man tror.

NIS2 och cybersäkerhetslagen handlar bland annat om cybersäkerhetsrisker, säkerhetsåtgärder, ansvar och incidentrapportering. ISO 27001 beskriver ett ledningssystem för informationssäkerhet som ska etableras, införas, underhållas och förbättras. ISO 9001 lyfter dokumenterad information, uppföljning, mätning och förbättring. ISO 14001 gör samma sak för miljöarbetet, med fokus på styrning, uppföljning och kontinuerlig förbättring. AI Act bygger dessutom uttryckligen på ett riskbaserat synsätt och ställer för högrisk-AI krav på bland annat riskhantering, loggning, dokumentation, mänsklig översyn och robusthet.

Med andra ord: regelverken ber er inte bara att “vilja rätt”. De ber er att arbeta strukturerat.

Det räcker inte att ha gjort jobbet

Det här är den punkt många organisationer känner igen sig i. Man har gjort mycket. Man har policyer, möten, riskdiskussioner, leverantörskrav, utbildningar och ibland även tekniska skydd på plats. Problemet är att det ofta är svårt att svara tydligt på tre enkla frågor:

Vilka kontroller ska göras? Hur ofta följs de upp? Var finns underlaget som visar status?

Det är här kontroller, uppföljning och evidens blir avgörande. Inte för att skapa mer administration än nödvändigt, utan för att göra arbetet styrbart. Utan struktur blir viktiga aktiviteter personberoende. Utan uppföljning blir kraven punktinsatser. Utan evidens blir det svårt att visa att arbetet verkligen fungerar. Den logiken går igen i både ledningssystem och i moderna EU-regelverk.

Vad en kontroll egentligen är

En kontroll behöver inte vara komplicerad. I grunden är det bara ett tydligt sätt att svara på frågan: vad måste vi säkerställa, hur verifierar vi det och vem ansvarar?

En bra kontroll brukar innehålla några enkla delar: vad som ska kontrolleras, vem som äger frågan, hur ofta den ska följas upp, vilken evidens som krävs och vad som händer om resultatet inte är tillräckligt.

Det kan handla om att kontrollera att riskbedömningar är uppdaterade, att incidentrutiner är testade, att leverantörer har granskats, att utbildning har genomförts, att miljömål följs upp eller att AI-användning har dokumenterats och bedömts. Själva kontrollen är alltså bron mellan ett krav på papper och ett faktiskt arbetssätt i verksamheten.

Uppföljning är det som gör arbetet levande

Många krav ser bra ut när de skrivs, men betydligt sämre sex månader senare. Medarbetare byter roll, leverantörer ändras, processer utvecklas och nya risker dyker upp. Därför är uppföljning inte ett extra lager ovanpå compliancearbetet. Det är själva motorn.

Det märks tydligt i ISO-standarderna, där etablering och införande inte räcker, utan systemet också ska underhållas och förbättras över tid. Samma tanke finns i NIS2:s fokus på riskhantering och incidentrapportering, och i AI Act där risk, dokumentation och spårbarhet blir centrala särskilt för användning med högre konsekvens. För många organisationer är det just här arbetet faller: man gör en första insats, men saknar en rytm för återkommande kontroll och uppföljning.

Evidens gör arbetet trovärdigt

Ordet evidens kan låta tungt, men i praktiken betyder det bara: vad kan ni visa upp?

Det kan vara ett ifyllt kontrollsvar, en bilaga, ett beslutsprotokoll, ett testresultat, en logg, en utbildningslista, en skärmdump, en genomförd åtgärdsplan eller en signerad bedömning. Det viktiga är inte att allt blir perfekt dokumenterat i onödan. Det viktiga är att det finns tillräckligt underlag för att förstå vad som har kontrollerats, när det gjordes, vad resultatet blev och vem som ansvarade.

Det är också här många revisioner, interna granskningar och tillsynssituationer avgörs i praktiken. Inte i vad organisationen säger att den brukar göra, utan i vad den faktiskt kan visa. AI Act är ett tydligt exempel, eftersom högrisk-AI uttryckligen kopplar ihop krav med loggning, dokumentation och spårbarhet.

Därför blir e-Check relevant

När kraven ökar är det sällan lösningen att skapa fler separata Excel-filer, fler spridda dokument och fler manuella påminnelser. Det som brukar saknas är i stället en gemensam struktur.

Det är där e-Check passar in. I stället för att se NIS2, cybersäkerhetslagen, ISO 27001, ISO 14001, ISO 9001 och AI Act som helt olika öar går det att arbeta med samma grundmodell: återkommande kontroller, tydliga ansvar, uppföljning över tid och kopplad evidens.

Med e-Check blir det lättare att:

  • strukturera kontrollfrågor per område, process eller regelverk
  • tydliggöra ansvar och periodicitet
  • följa upp status i stället för att jaga svar manuellt
  • samla evidens där kontrollen faktiskt hör hemma
  • dokumentera avvikelser, kommentarer och förbättringar
  • bygga spårbarhet över tid inför ledning, revision och tillsyn

Poängen är inte bara att “ha ordning i pärmen”. Poängen är att skapa ett arbetssätt som håller även när organisationen växer, när fler personer blir involverade och när kraven förändras.

Ett mer praktiskt sätt att tänka på regelefterlevnad

Det kan vara lockande att behandla varje nytt krav som ett separat projekt. Först NIS2. Sedan AI Act. Sedan en ISO-revision. Sedan något kundkrav ovanpå det. Men det brukar bli både dyrt och trögt i längden.

Ett bättre angreppssätt är att se kontroller, uppföljning och evidens som en gemensam kärna. När den kärnan fungerar blir det mycket enklare att möta flera krav samtidigt. Då slipper ni börja om varje gång ett nytt regelverk dyker upp. I stället kan ni använda samma struktur för att visa att arbetet är planerat, genomfört, granskat och dokumenterat.

Det är just därför den här typen av plattformar blir viktiga. Inte för att ersätta ansvar, kompetens eller ledningsbeslut, utan för att ge arbetet form.

Slutsats

NIS2, cybersäkerhetslagen, ISO 27001, ISO 14001, ISO 9001 och AI Act handlar i grunden inte bara om krav. De handlar om förmåga. Förmågan att arbeta systematiskt, följa upp det som är viktigt och visa att ni gör det ni säger att ni gör.

Och det är precis där kontroller, uppföljning och evidens kommer in. Inte som byråkrati för byråkratins skull, utan som grunden för styrning, förbättring och trovärdig regelefterlevnad.

För organisationer som vill få struktur på arbetet blir e-Check därför inte bara ett sätt att dokumentera. Det blir ett sätt att skapa ordning, rytm och spårbarhet i ett område där det annars lätt blir splittrat.

Att tänka på

  • Börja inte med dokumenten. Börja med kontrollerna.
  • Knyt varje kontroll till ansvar, intervall och evidens.
  • Följ upp återkommande, inte bara inför revision eller tillsyn.
  • Återanvänd samma struktur över flera regelverk där det går.
  • Säkerställ att ledningen kan se status, avvikelser och utveckling över tid.

Observera att detaljerade krav alltid behöver verifieras mot aktuell lagtext, myndighetsvägledning, certifieringskrav och den egna organisationens situation.