• Digital säkerhet
  • Traditionell säkerhet
  • I FOKUS
  • Nyhetsbrev

Låt inte NIS2 bli ett nytt GDPR

Dagens NIS-direktiv berör lite drygt 500 svenska organisationer inom energi, transport, vatten, hälso- och sjukvård, digital infrastruktur samt finans. Då det visat sig vara otillräckligt i förhållande till vad man vill uppnå utökas det nu kraftigt till åtta nya sektorer, till exempel avlopps- och avfallshantering, samt tillverkare av samhällskritiska produkter som medicinutrustning, offentlig förvaltning och livsmedelsproduktion. Det skriver Andreas Gotthardsson, director systems engineering på Fortinet.

-

Det här är en opinionstext. Åsikter som uttrycks är skribentens egna.

Mycket har också hänt sedan det ursprungliga NIS-direktivet antogs 2016, och det uppdaterade direktivet ska spegla den snabba förändringen av förutsättningarna för samhällsskydd. Pandemin och dess efterverkningar har i flera avseenden påskyndat utrullningen av många digitala tjänster i samhället, vilket i sin tur skapat ökat beroende av, samt satt ökad press på, den digitala infrastrukturen. Med det nya direktivet sänder EU en tydlig signal till medlemsländerna att det är dags att höja ambitionsnivån och ställa tydligare krav på de som omfattas.

Den 28 november lämnade EU-rådet sitt slutgiltiga godkännande och nu har medlemsländerna 21 månader på sig att implementera direktivet i sin lagstiftning. Därmed har vi både ett slutdatum och en bra bild av vad NIS2 kommer att föra med sig; Fler företag och myndigheter än idag kommer att omfattas av direktivet och det ställs nya och utökade krav på säkerhetsåtgärder och incidentrapportering. Vi vet också att även säkerhet i leverantörskedjor kommer att hamna under luppen samt att NIS-2-direktivet innefattar olika möjligheter till sanktioner. Och precis som med GDPR riskerar de som bryter mot reglerna kännbara böter.

”Vi har sett många missförstånd i hur verksamheter ska hantera exempelvis information gällande just säkerhetsincidenter”

Än så länge är det inte helt klart hur många fler organisationer i Sverige som kommer att omfattas av NIS2, men på EU-nivå talas det om att man går från ”tusentals till hundratusentals”.

Ambitionen är att företag och organisationer inte bara ska höja sin beredskap och lägstanivån för cybersäkerhetsarbetet, de ska också bli bättre på att dela med sig av information vilket kommer att komma andra till gagn.

I MSB:s senaste årsrapport för NIS-leverantörers incidentrapportering konstaterar man att man fortsatt ser ”en underrapportering, bland annat genom att incidenter som blivit offentligt kända inte alltid rapporteras”. Ett annat sätt att beskriva det är att rapporteringsskyldiga organisationer – av olika anledningar – inte rapporterar incidenter som de ska.

Följden blir att den siffra på 82 inrapporterade incidenter som påverkar ”samhällsviktiga och digitala tjänster”, varav endast fem rapporterats som faktiska angrepp, egentligen inte säger någonting. Det finns många anledningar till att rapporteringen sviktar. En direkt anledning till att man reviderar NIS är att implementeringen sammanföll med GDPR. En viktig del av NIS är att stärka informationsdelningen, medan GDPR till stor del handlar om att begränsa just delning av data. Vi har sett många missförstånd i hur verksamheter ska hantera exempelvis information gällande just säkerhetsincidenter eller kommunikation maskin-till-maskin. Självklart kan det också i en del fall bero på bristfälliga processer och rutiner hos organisationen eller på att man har olika definitioner på vad som faktiskt utgör en incident.

”Ett annat konkret steg vore att omedelbart öka öppenheten och transparensen kring angrepp och incidenter”

NIS2 ställer betydligt hårdare krav på organisationer och uppmuntrar även till rapportering av ”nästan-incidenter”. Vidare innebär direktivet att de som omfattas ska ha ett metodiskt och systematiskt cybersäkerhetsarbete.

Det finns ingen anledning att vänta på att lagen ska träda i kraft. De stora dragen är redan kända, och bara genom att ta ett steg tillbaka och säkerställa att organisationens cybersäkerhetsarbete sker ”systematiskt och metodiskt” – till exempel i linje med ISO 27001 – har man lagt en mycket god grund för att slippa stressa och hetsa när datumet närmar sig. Ett annat konkret steg vore att omedelbart öka öppenheten och transparensen kring angrepp och incidenter mellan såväl privata som offentliga verksamheter.

Andreas Gotthardsson, director systems engineering på Fortinet.

Här finns lärdomar att ta från implementeringen av GDPR som blev en stor källa till stress och i många fall hastigt fattade beslut som så här i backspegeln kanske inte var helt genomtänkta och välgrundade.

Risken att implementeringen av NIS2 följer samma mönster är överhängande. Bästa sättet att undvika det är att påbörja arbetet redan idag.

”Hållbara laddprodukter främjar fastighetsbranschens utveckling”

Hallå där Josefin Bengtsson, COO och Head of Marketing för Compleo Nordic. Vilka är Compleo?– Compleo erbjuder allt man behöver för en smart och...

FLER NYHETER

Malmö Stadsnät säkrar infrastrukturen

Malmö stad förvaltar och bygger fibernät för framtidens infrastruktur. Man erbjuder operatörer, villor, bostadsrättsföreningar, flerbostadsfastigheter, samfälligheter med flera en oberoende och framtidssäkrad kommunikationsmöjlighet. Som...

Dramaten säkrar scentekniken med UPS-lösning

Dramaten Thalia fasad 2015 EntréOsäkerheten kring elförsörjningen får allt fler verksamheter att se över vilka konsekvenser ett strömavbrott kan få för verksamheten. För nationalscenen Dramaten...

Chat GPT används för nätfiskeangrepp

Utvecklingen går snabbt och vi läser dagligen om hur Chat GPT gjort om spelplanen genom att skapa välskriven text på bara ett ögonblick. På...

RAPPORT: En av tio patchar inte sårbarheter i telefonen

Nästan hälften av dessa sårbarheter, 47 procent, klassas dessutom som allvarliga och rentav kritiska. Företag låter det gå i genomsnitt 184 dagar, det vill...

Samarbete ska stärka brandskyddet i Skåne

Fokus under våren kommer att vara utrullningen av Grundläggande brandövning – ett grundläggande upplägg för brandövning på den egna arbetsplatsen. Säker Vårdmiljö har även...

Dataskyddsombud varnar för brister i arbetet med GDPR

IMY publicerar nu rapporten Dataskyddsarbetet i praktiken som bygger på en enkät som besvarats av dataskyddsombud i närmare 800 verksamheter. Syftet med rapporten är att få...

Securitas tecknar nytt säkerhetsavtal med LKAB

Denna gång valde LKAB att förlänga avtalet, något som avtalsansvarig på Securitas, Markus Printz menar tyder på ett gott förhållande mellan företagen.– Att ges möjligheten till...

SRS Security inleder samarbete med Ing-Marie Wieselgren stiftelse

– Kan vi på bred front fortsätta att göra nytta i Ing-Maries anda och öka den psykiska hälsan på några håll i samhället så...

RAPPORT: Yahoo toppar listan över världens mest utsatta varumärken för nätfiske

Högst upp på listan hamnar Yahoo, teknikföretaget har därmed klättrat 23 platser sedan förra kvartalets rapport. Yahoo utnyttjades för 20 procent av världens alla...

Ökat skydd mot desinformation för offentliga arbetsgivare

Anonyma konton och hatkampanjer på nätet sprider desinformation om socialtjänsten. Men felaktiga uppgifter sprids också av anställda i kommuner, regioner och i privata verksamheter...

Brister i att förebygga hot och våld på jobbet

På senare år har hot och våld uppmärksammats allt mer som ett arbetsmiljöproblem. I den här insatsen har Arbetsmiljöverket fokuserat på verksamheter som ligger...

Secify rekryterar affärsområdeschef från Combitech

Jonas Stewén har en bakgrund inom verksamhetsutveckling, samt roller inom försäljning och marknad. Som försäljningschef på Secify kommer han dessutom ingå i ledningsgrupp för...

Maria Lagerstam ny chef för People & Culture på Iver

– Först vill jag välkomna Maria till Iver och till vår koncernledning. Kompetensutveckling och kompetensförsörjning är centrala delar för varje organisation som vill vara...

Fortifikationsverket rekryterar från Must

Anders Henningsson kommer att bli avdelningschef för säkerhetsavdelningen och Fortifikationsverkets säkerhetsskyddschef. Han kommer att ingå i myndighetens ledningsgrupp.– Det känns jättebra att Anders Henningsson...

Bankernas säkerhetsanalytiker kan inte stå ensamma i skottgluggen för de växande cyberhoten

35 procent av alla dataintrång rör banker och finansiella tjänster, enligt Forbes. Den tid...