• Digital säkerhet
  • Traditionell säkerhet
  • I FOKUS
  • Nyhetsbrev

Låt inte NIS2 bli ett nytt GDPR

Dagens NIS-direktiv berör lite drygt 500 svenska organisationer inom energi, transport, vatten, hälso- och sjukvård, digital infrastruktur samt finans. Då det visat sig vara otillräckligt i förhållande till vad man vill uppnå utökas det nu kraftigt till åtta nya sektorer, till exempel avlopps- och avfallshantering, samt tillverkare av samhällskritiska produkter som medicinutrustning, offentlig förvaltning och livsmedelsproduktion. Det skriver Andreas Gotthardsson, director systems engineering på Fortinet.

-

Det här är en opinionstext. Åsikter som uttrycks är skribentens egna.

Mycket har också hänt sedan det ursprungliga NIS-direktivet antogs 2016, och det uppdaterade direktivet ska spegla den snabba förändringen av förutsättningarna för samhällsskydd. Pandemin och dess efterverkningar har i flera avseenden påskyndat utrullningen av många digitala tjänster i samhället, vilket i sin tur skapat ökat beroende av, samt satt ökad press på, den digitala infrastrukturen. Med det nya direktivet sänder EU en tydlig signal till medlemsländerna att det är dags att höja ambitionsnivån och ställa tydligare krav på de som omfattas.

Den 28 november lämnade EU-rådet sitt slutgiltiga godkännande och nu har medlemsländerna 21 månader på sig att implementera direktivet i sin lagstiftning. Därmed har vi både ett slutdatum och en bra bild av vad NIS2 kommer att föra med sig; Fler företag och myndigheter än idag kommer att omfattas av direktivet och det ställs nya och utökade krav på säkerhetsåtgärder och incidentrapportering. Vi vet också att även säkerhet i leverantörskedjor kommer att hamna under luppen samt att NIS-2-direktivet innefattar olika möjligheter till sanktioner. Och precis som med GDPR riskerar de som bryter mot reglerna kännbara böter.

”Vi har sett många missförstånd i hur verksamheter ska hantera exempelvis information gällande just säkerhetsincidenter”

Än så länge är det inte helt klart hur många fler organisationer i Sverige som kommer att omfattas av NIS2, men på EU-nivå talas det om att man går från ”tusentals till hundratusentals”.

Ambitionen är att företag och organisationer inte bara ska höja sin beredskap och lägstanivån för cybersäkerhetsarbetet, de ska också bli bättre på att dela med sig av information vilket kommer att komma andra till gagn.

I MSB:s senaste årsrapport för NIS-leverantörers incidentrapportering konstaterar man att man fortsatt ser ”en underrapportering, bland annat genom att incidenter som blivit offentligt kända inte alltid rapporteras”. Ett annat sätt att beskriva det är att rapporteringsskyldiga organisationer – av olika anledningar – inte rapporterar incidenter som de ska.

Följden blir att den siffra på 82 inrapporterade incidenter som påverkar ”samhällsviktiga och digitala tjänster”, varav endast fem rapporterats som faktiska angrepp, egentligen inte säger någonting. Det finns många anledningar till att rapporteringen sviktar. En direkt anledning till att man reviderar NIS är att implementeringen sammanföll med GDPR. En viktig del av NIS är att stärka informationsdelningen, medan GDPR till stor del handlar om att begränsa just delning av data. Vi har sett många missförstånd i hur verksamheter ska hantera exempelvis information gällande just säkerhetsincidenter eller kommunikation maskin-till-maskin. Självklart kan det också i en del fall bero på bristfälliga processer och rutiner hos organisationen eller på att man har olika definitioner på vad som faktiskt utgör en incident.

”Ett annat konkret steg vore att omedelbart öka öppenheten och transparensen kring angrepp och incidenter”

NIS2 ställer betydligt hårdare krav på organisationer och uppmuntrar även till rapportering av ”nästan-incidenter”. Vidare innebär direktivet att de som omfattas ska ha ett metodiskt och systematiskt cybersäkerhetsarbete.

Det finns ingen anledning att vänta på att lagen ska träda i kraft. De stora dragen är redan kända, och bara genom att ta ett steg tillbaka och säkerställa att organisationens cybersäkerhetsarbete sker ”systematiskt och metodiskt” – till exempel i linje med ISO 27001 – har man lagt en mycket god grund för att slippa stressa och hetsa när datumet närmar sig. Ett annat konkret steg vore att omedelbart öka öppenheten och transparensen kring angrepp och incidenter mellan såväl privata som offentliga verksamheter.

Andreas Gotthardsson, director systems engineering på Fortinet.

Här finns lärdomar att ta från implementeringen av GDPR som blev en stor källa till stress och i många fall hastigt fattade beslut som så här i backspegeln kanske inte var helt genomtänkta och välgrundade.

Risken att implementeringen av NIS2 följer samma mönster är överhängande. Bästa sättet att undvika det är att påbörja arbetet redan idag.

REKLAMSAMARBETE

Lådan som förhindrar att mobilen spionerar

Att datorer och laptops måste ha ett bra skydd mot eventuella intrång är något som i dag är en självklarhet för företagens IT-avdelningar. Men...

FLER NYHETER

Forskning om hur smygande kriser kan avvärjas får anslag på 12 miljoner

Forskningsprojektet Unravelling the secrets of crisis detection and decisive action ska svara på varför beslutsfattare inte agerar i tid för att avvärja större samhällskriser,...

REKLAMSAMARBETE

Digital transformation och utvecklingen av nätverkskameran

När den första nätverkskameran togs fram och utvecklades för många år sedan var det knappast ingen som kunde föreställa sig vilken kapacitet och potential...

Omfattande riktad attack mot Outlook – 10 000 försök under kort tid

Detta hela ser ut att vara en fortsättning på en tidigare kampanj från i mars i år, som riktade in sig mot en mängd...

REKLAMSAMARBETE

A proactive approach to cyber and physical security 

When choosing a physical security system, organizations must also consider cybersecurity and the security of their security. This article looks at the importance of...

KOMMENTAR: Avslöjandet om ryska cyberattacker mot brittiska regeringen

En hackergrupp cybersäkerhetsforskare kallad "Cold River", som arbetar på uppdrag av Rysslands federala säkerhetstjänst (FSB), riktade in sig på brittiska politiker, journalister och ideella...

Svenska företag måste hantera allt fler kriser

– Hittills i år har vi sett en ökning med 81 procent när det gäller våra krisinsatser ute på företagen. Det är tydligt att...

REKLAMSAMARBETE

Säkra upp företagets digitala resa med Knowit och SSF

I en tid av konstant förändring, digitalisering och snabb teknologisk utveckling är kunskap om säkerhetslagar och regelverk en kritisk fråga för företag. Ett av...

IT-Total och Sudo i samarbete kring trygg svensk container management

Containers är ett bra sätt för att smidigt rulla ut applikationer och funktioner, oberoende av den underliggande infrastrukturen eller placering i publika och privata moln. För...

REPLIK: ”Allt för många förlitar sig på klassrumsutbildningar”

Det här är en opinionstext. Åsikter som uttrycks är skribentens egna.”Det kan vara skrämmande för organisationer att ta itu med cybersäkerhetsrisker” skriver Per Erngård...

Startupen Selma Dynamics ingår partnerskap med MedMera Bank 

– Om kostnaden för cyberbrottslighet mättes som ett land skulle cyberbrottslighet vara världens tredje största ekonomi efter USA och Kina. Det säger en del...

Sverige och USA undertecknar avtal om försvarssamarbete

Avtalet är ett så kallat DCA, Defence Cooperation Agreement, och reglerar bland annat frågor som amerikanska styrkornas rättsliga status, tillgång till baseringsområden samt förhandslagring...

Svenska lärosäten brister i sin hantering av skyddsvärda forskningsdata

Främmande staters underrättelsearbete mot svenska universitet och högskolor har intensifierats under senare år. Behovet av ett effektivt informationssäkerhetsarbete har därmed ökat.Riksrevisionens granskning av de...

Nätfiske som länkar till Adobe InDesign ökar kraftigt

Det dagliga antalet attacker av det här slaget har ökat från cirka 75 meddelanden till cirka 2 000. Nästan en av 10 (9 procent)...

Knowit: Svenska cybersäkerhetsutbildningar lider av flera brister

Undersökningen ISC2-s Workforce Study 2022 estimerar att det internationellt saknas ungefär 3.4 miljoner anställda med cybersäkerhetskunskaper. Därtill säger 70 procent av de organisationer som varit med...

UNDERSÖKNING: Otydliga gränser mellan hem- och kontorsarbete äventyrar IT-säkerheten

Verizon Business presenterar idag sin Mobile Security Index (MSI)-rapport för 2023 – den sjätte i raden av företagets årliga undersökning som kartlägger IT-säkerhetshot mot...

Samarbete ska säkra unga i Helsingborgs digitala värld

– Vi är glada att välkomna Helsingborg Stad som partner i arbetet med att öka säkerheten för unga på nätet. HackShield har visat sig...

Bravida förvärvar låsföretag i Uppsala

Låsservice i Mälardalen är ett auktoriserat låssmedsföretag som innehar nödvändiga gesäll och mästarbrev.– Vi är mycket glada för att Låsservice i Mälardalen blir en...