Digital resiliens och ansvarsfull AI inom IT Service Management
20/11-2025

Digital resiliens och ansvarsfull AI inom IT Service Management

NIS2 – Krav och fokusområden för ITSM

NIS2 är EU:s uppdaterade cybersäkerhetsdirektiv som ska införas i svensk lag (Cybersäkerhetslagen) i början av 2026. Det ställer krav på både tekniska och organisatoriska åtgärder för att höja cybersäkerheten.

Nyckelkrav som berör ITSM:

Riskhantering och säkerhetspolicy
Inför ett ramverk för att identifiera, analysera och hantera risker. Dokumentera strategier och roller.

Incidenthantering
Rutiner för upptäckt, rapportering och hantering av incidenter. Rapportering till myndighet inom 24 timmar vid betydande incidenter.

Kontinuitetsplanering och krishantering
Backup, redundans och återställningsplaner ska finnas och testas regelbundet.

Ledningsansvar
Styrelse och ledning har ett explicit ansvar för cybersäkerhet och måste utbildas.

Leverantörssäkerhet
Kontrollera säkerheten i hela leveranskedjan, inklusive IT-tjänsteleverantörer.

Dokumentation och bevis
Policies, utbildningsbevis, tekniska loggar och riskanalyser ska kunna visas vid tillsyn.

Förberedelser för ITSM:

  • Integrera NIS2-kraven i ITSM-processer (Change, Incident, Problem, Supplier Management).
  • Säkerställ att CMDB och Asset Management stödjer riskklassning och spårbarhet.
  • Automatisera incidentrapportering och skapa tydliga eskaleringsvägar.

EU AI Act – Krav och fokusområden för ITSM

AI Act är världens första heltäckande AI-reglering och gäller både utvecklare och användare av AI-system. Den införs stegvis fram till 2026.

Nyckelkrav som berör ITSM:

Riskklassificering av AI-system
AI Act delar in AI i fyra risknivåer: oacceptabel, hög, begränsad och minimal. ITSM-lösningar med AI (t.ex. automatiserad ärendehantering, virtuella agenter) hamnar oftast i begränsad risk, men vissa HR- eller accessrelaterade funktioner kan klassas som hög risk.

Transparens och märkning
Användare ska informeras när de interagerar med AI. AI-genererat innehåll ska märkas.

Dokumentation och governance
För högrisk-AI krävs CE-märkning, teknisk dokumentation, loggar, och möjlighet till mänsklig översyn.

Ansvar och styrning
AI-compliance blir ett styrelseansvar, liknande GDPR.

Förberedelser för ITSM:

  • Kartlägg var AI används i ITSM-processer (t.ex. automatiserad triage, chatbotar).
  • Inför AI-riskbedömning som en del av Change Management.
  • Säkerställ att AI-beslut är spårbara och kan förklaras (Explainability).
  • Skapa policy för AI-användning och utbilda personal.

Gemensamma fokusområden för verksamheten

  1. Governance och ledningsförankring
    Både NIS2 och AI Act kräver att ledningen tar ansvar för efterlevnad.
  2. Riskhantering som en integrerad process
    Gör riskklassning av både IT-system och AI-lösningar.
  3. Utbildning och medvetenhet
    Höj kompetensen inom cybersäkerhet och AI hos alla roller.
  4. Dokumentation och spårbarhet
    Allt från incidenter till AI-modeller ska kunna granskas.
  5. Leverantörskedjan
    Säkerställ att externa IT- och AI-leverantörer uppfyller kraven.
Kontakt: info@itsmf.se
Bita logotyp