Från tisdag till torsdag vecka 6 och vecka 11 erbjuds två tredagars distanskurser med fokus på det kommande NIS2-direktivet, som väntas bli lag i Sverige efter sommaren 2025. Kurserna syftar till att rusta små och medelstora företag för de omfattande krav som EU ställer på cybersäkerhet och riskhantering.
NIS2 är en vidareutveckling av det tidigare NIS-direktivet, och skärper kraven både mot cyberangrepp och fysiska hot och omfattar betydligt fler verksamheter jämfört med det tidigare direktivet, förklarar Henrik Thernlund, som själv har mångårig erfarenhet från säkerhetsskyddsarbete från Försvarsmakten MUST, samt som säkerhetskyddschef för både FRA och Fortifikationsverket.
Omfattande krav för samhällsviktiga företag
De företag och organisationer som omfattas av NIS2 är många; allt från elproduktion, vattenproduktion och sjukvård till livsmedelsindustrin och datatjänster – om de sysselsätter minst 50 personer eller har en omsättning eller balansomslutning som överstiger 10 miljoner euro per år Därutöver finns det dock också andra kvalificeringsgrunder som gör att vissa verksamheter oavsett storlek omfattas av direktivet, till exempel kritiska digitala infrastruktur- och kommunikationstjänster.
NIS2-direktivet tar ett helhetsgrepp som går utöver cybersäkerhet. Verksamhetsutövare ska exempelvis också vidta riskhanteringsåtgärder för att skydda nätverks- och informationssystems fysiska miljö mot incidenter. Alla vidtagna åtgärder ska utgå från en riskanalys och ska vara proportionella i förhållande till risken och åtgärderna ska dessutom utvärderas. Det ställs också krav på att verksamhetsutövaren ska bedriva ett systematiskt och riskbaserat informationssäkerhetsarbete. Det är krav på att verksamhetens ledning ska genomgå utbildning och att anställda ska erbjudas utbildning. NIS2-direktivet inkluderar även krav på säkerhet inom leverantörskedjor och personalsäkerhet, säger Henrik Thernlund.
Misskötsel av de nya kraven kan bli kostsamt. Sanktionerna är betydligt hårdare än vad vi sett tidigare i Sverige, med bötesbelopp som är högre än vad som gäller enligt säkerhetsskyddslagen. Dessutom kan verksamheter föreläggas att offentliggöra information rörande överträdelse och ledningspersoner kan förbjudas att få vara befattningshavare hos en viss verksamhetsutövare.
Skräddarsydd kurs med praktiska moment
Under kursen får deltagarna en djupdykning i de juridiska kraven, en genomgång av hotbilder samt konkreta riskhanteringsåtgärder för såväl cybersäkerhet som fysiska och personalsäkerhetsrisker. Fokus ligger också på administrativa krav, inklusive krypteringsstrategier, som är ett av kraven i NIS2.
– Kursen erbjuder även praktiska gruppövningsmoment för att deltagarna ska få utbyta erfarenheter med varandra och säkerställa att deltagarna kan omsätta teorin i praktiken, säger Henrik Thernlund.
Dessa två kurstillfällen genomförs med stöd från EU, NCC-SE och MSB, vilket medför att avgiften endast är 2 995 kronor. En mycket överkomlig summa för mindre företag som ofta har begränsade resurser för att hantera dessa komplexa frågor.
Erfarna kursledare
Kursen leds av ett expertteam med bred erfarenhet:
- Henrik Thernlund, med över 25 års erfarenhet av säkerhetsskydd och signalskydd från bland annat Försvarsmakten, Fortifikationsverket och FRA.
- Helene Bergquist, senior jurist med inriktning på NIS2, säkerhetsskydd och cybersäkerhet, tidigare chef för – rätts- och informationskontoret på FRA.
- Mikael Andersson, teknisk kryptoexpert från Tutus Data, som bland annat kommer att prata om hotet från kvantdatorer och hur man bygger säkra kryptosystem, kryptostrategier med mera.
Anmälan sker via www.govsec-sweden.com
Vilka omfattas av NIS2 och syftet med direktivet
NIS2-direktivet (Network and Information Systems Directive 2) ställer krav på säkerhet i nätverks- och informationssystem. Syftet är att uppnå en högre cybersäkerhet. Det ersätter det tidigare NIS-direktivet från 2016, som genomfördes i svensk rätt genom lagen (2018:1174) om informationssäkerhet för samhällsviktiga och digitala tjänster. NIS2-direktivet skärper kraven jämfört med det tidigare direktivet och kraven kommer att gälla för hela verksamheten inte bara som tidigare direktiv bara för samhällsviktiga och digitala tjänstedelar. NIS2-direktivet omfattar betydligt fler aktörer, antalet sektorer utökas från 7 till 18.
De sektorer som kommer att omfattas är:
• Energi
• Transporter
• Bankverksamhet
• Finansmarknadsinfrastruktur
• Hälso- och sjukvårdssektorn
• Dricksvatten
• Avloppsvatten
• Digital infrastruktur
• Förvaltning av IKT-tjänster (Informations-och kommunikationstjänster (mellan företag))
• Offentlig förvaltning
• Rymden
• Post- och budtjänster
• Avfallshantering
• Tillverkning, produktion och distribution av kemikalier
• Produktion, bearbetning och distribution av livsmedel
• Tillverkning
• Digitala leverantörer
• Forskning
Den som bedriver verksamhet inom någon av sektorerna omfattas som utgångspunkt av kraven i NIS2-direktivet. Det gäller för såväl offentliga som enskilda verksamhetsutövare. För enskilda verksamhetsutövare gäller som huvudregel ett storlekskrav med innebörd att verksamheten måste sysselsätta minst 50 personer eller ha en årsomsättning som överstiger 10 miljoner euro för att omfattas av lagen. Det betyder att små företag som utgångspunkt inte kommer att beröras. Vissa särskilt utpekade enskilda verksamhetsutövare kan dock omfattas dock oavsett storlek.