Det här är en opinionstext. Åsikter som uttrycks är skribentens egna.
Mycket har också hänt sedan det ursprungliga NIS-direktivet antogs 2016, och det uppdaterade direktivet ska spegla den snabba förändringen av förutsättningarna för samhällsskydd. Pandemin och dess efterverkningar har i flera avseenden påskyndat utrullningen av många digitala tjänster i samhället, vilket i sin tur skapat ökat beroende av, samt satt ökad press på, den digitala infrastrukturen. Med det nya direktivet sänder EU en tydlig signal till medlemsländerna att det är dags att höja ambitionsnivån och ställa tydligare krav på de som omfattas.
Den 28 november lämnade EU-rådet sitt slutgiltiga godkännande och nu har medlemsländerna 21 månader på sig att implementera direktivet i sin lagstiftning. Därmed har vi både ett slutdatum och en bra bild av vad NIS2 kommer att föra med sig; Fler företag och myndigheter än idag kommer att omfattas av direktivet och det ställs nya och utökade krav på säkerhetsåtgärder och incidentrapportering. Vi vet också att även säkerhet i leverantörskedjor kommer att hamna under luppen samt att NIS-2-direktivet innefattar olika möjligheter till sanktioner. Och precis som med GDPR riskerar de som bryter mot reglerna kännbara böter.
”Vi har sett många missförstånd i hur verksamheter ska hantera exempelvis information gällande just säkerhetsincidenter”
Än så länge är det inte helt klart hur många fler organisationer i Sverige som kommer att omfattas av NIS2, men på EU-nivå talas det om att man går från ”tusentals till hundratusentals”.
Ambitionen är att företag och organisationer inte bara ska höja sin beredskap och lägstanivån för cybersäkerhetsarbetet, de ska också bli bättre på att dela med sig av information vilket kommer att komma andra till gagn.
I MSB:s senaste årsrapport för NIS-leverantörers incidentrapportering konstaterar man att man fortsatt ser ”en underrapportering, bland annat genom att incidenter som blivit offentligt kända inte alltid rapporteras”. Ett annat sätt att beskriva det är att rapporteringsskyldiga organisationer – av olika anledningar – inte rapporterar incidenter som de ska.
Följden blir att den siffra på 82 inrapporterade incidenter som påverkar ”samhällsviktiga och digitala tjänster”, varav endast fem rapporterats som faktiska angrepp, egentligen inte säger någonting. Det finns många anledningar till att rapporteringen sviktar. En direkt anledning till att man reviderar NIS är att implementeringen sammanföll med GDPR. En viktig del av NIS är att stärka informationsdelningen, medan GDPR till stor del handlar om att begränsa just delning av data. Vi har sett många missförstånd i hur verksamheter ska hantera exempelvis information gällande just säkerhetsincidenter eller kommunikation maskin-till-maskin. Självklart kan det också i en del fall bero på bristfälliga processer och rutiner hos organisationen eller på att man har olika definitioner på vad som faktiskt utgör en incident.
”Ett annat konkret steg vore att omedelbart öka öppenheten och transparensen kring angrepp och incidenter”
NIS2 ställer betydligt hårdare krav på organisationer och uppmuntrar även till rapportering av ”nästan-incidenter”. Vidare innebär direktivet att de som omfattas ska ha ett metodiskt och systematiskt cybersäkerhetsarbete.
Det finns ingen anledning att vänta på att lagen ska träda i kraft. De stora dragen är redan kända, och bara genom att ta ett steg tillbaka och säkerställa att organisationens cybersäkerhetsarbete sker ”systematiskt och metodiskt” – till exempel i linje med ISO 27001 – har man lagt en mycket god grund för att slippa stressa och hetsa när datumet närmar sig. Ett annat konkret steg vore att omedelbart öka öppenheten och transparensen kring angrepp och incidenter mellan såväl privata som offentliga verksamheter.
Här finns lärdomar att ta från implementeringen av GDPR som blev en stor källa till stress och i många fall hastigt fattade beslut som så här i backspegeln kanske inte var helt genomtänkta och välgrundade.
Risken att implementeringen av NIS2 följer samma mönster är överhängande. Bästa sättet att undvika det är att påbörja arbetet redan idag.
