Det här är en opinionstext. Åsikter som uttrycks är skribentens egna. NIS2 gäller nu sedan drygt en vecka tillbaka. Många är de verksamheter som påverkas, och det är naturligt att detta EU-direktiv har diskuterats flitigt den senaste tiden. I skrivande stund väntas NIS2 omsättas till en svensk cybersäkerhetslag fram mot sommaren 2025. Men även om […]
Det här är en opinionstext. Åsikter som uttrycks är skribentens egna.
NIS2 gäller nu sedan drygt en vecka tillbaka. Många är de verksamheter som påverkas, och det är naturligt att detta EU-direktiv har diskuterats flitigt den senaste tiden. I skrivande stund väntas NIS2 omsättas till en svensk cybersäkerhetslag fram mot sommaren 2025.
Men även om den svenska lagstiftaren är sen har verksamheter all anledning att agera redan nu. Dels för sin egen cybersäkerhets skull, dels för att förbereda sig för de rättsliga krav som komma skall. Det gäller särskilt i förhållande till användning av molntjänster.
Som jurist med fokus på it-rätt och molnet har jag stött på flera missuppfattningar kring molnet. Här ska jag beröra tre av dessa.
Den kanske största missuppfattningen är att digitaliseringen endast erbjuder två diametralt motsatta alternativ för applikationsdrift: en vattenskadad källare, eller en amerikansk hyperscaler.
För många verksamheter är ingetdera alternativ särskilt aptitligt. Å ena sidan vill man slippa administrera ett eget datacenter, och här kan givetvis NIS2 vara en katalysator, särskilt om den egna säkerheten är svajig. Å andra sidan vill man slippa de rättsliga och säkerhetsmässiga problem som är förknippade med amerikanska molntjänster. Problemet med att ställa dessa alternativ mot varandra är att det blir en falsk dikotomi.
Förstå mig rätt: de alternativ jag beskriver ovan existerar i allra högsta grad, men de utgör inte de enda alternativen. Det finns en tredje väg. Det handlar om enteknikplattform för skalbar molninfrastruktur (IaaS) som en mängd leverantörer tillhandahåller från över 180 datacenter världen över. Flera av dessa leverantörer finns i Sverige och Europa, och ja, Cleura är en av dessa. Ur säkerhetssynpunkt utmärker sig dessa leverantörer genom att de samarbetar om tekniken samtidigt som de konkurrerar om tjänsteleveransen. Det har visat sig förbluffande framgångsrikt. Ändå är det få som känner till detta alternativ, även om det används inom alltifrån sjukvård till offentlig sektor och cybersäkerhet.
Oavsett vägval vill din verksamhet förstås säkerställa både säkerhet för sin egen skull, men också regelefterlevnad. Inte minst med NIS2 i åtanke.
Här kommer vi till missuppfattning nummer två. Nämligen att kraven i NIS2 i princip fullständigt matchar din verksamhets egenintresse. Enligt den här missuppfattningen är själva införandet av ett ledningssystem för informationssäkerhet, företrädesvis enligt ISO 27001, i sig en exercis som leder till NIS2-uppfyllelse.
Det är sant att ett sådant arbete i många fall är en nödvändig förutsättning för att uppfylla NIS2. Att arbetet ska bedrivas systematiskt är rentav det enda krav som regeringens utredare föreslår utöver NIS2-direktivets minimikrav.
Här är det emellertid lätt att gå händelserna i förväg. Särskilt om man fastnar i direktivets lista över riskhanteringsåtgärder. Då är det lätt att tänka att NIS2 inte medför något nytt under solen.
Men det gör det.
Den som etablerar ett ledningssystem enligt ISO 27001 bestämmer själv över kritiska aspekter:
NIS2 lägger sig i detta. Direktivet omfattar hela verksamheten, inte bara den del som är viktig eller väsentlig. NIS2 kräver också att verksamheten vidtar åtgärder för att förhindra eller minimera incidenters påverkan på mottagarna av verksamhetens tjänster. Om din verksamhet som omfattas av NIS2 exempelvis har kunder, så ska din verksamhet alltså ta hänsyn till hur incidenter kan drabba kunderna. När verksamheten bedömer vilka åtgärder som är tillräckliga ska verksamheten beakta att incidenter kan få samhälleliga och ekonomiska konsekvenser. Dessa krav framgår av artikel 21.1 i NIS2-direktivet.
Det räcker alltså inte att arbeta enligt ett ledningssystem, eller att ha vidtagit någon form av åtgärd inom de områden som NIS2 räknar upp. Det räcker inte ens att arbeta systematiskt. Verksamheter ska i någon mån se bortom sitt egenintresse. De ska beakta att incidenter kan få samhälleliga och ekonomiska konsekvenser samt vidta åtgärder som förhindrar och minimerar konsekvenserna inte bara för den egna verksamheten, utan också för exempelvis kunder.
Om din verksamhet inte integrerar detta i säkerhetsarbetet kommer den inte att uppfylla NIS2. Här kommer vi till det verkligt svåra.
Det sagda kräver en förståelse för hoten som påverkar just din verksamhet. Det kräver också en förståelse för hur incidenter i din verksamhet kan drabba de som konsumerar din verksamhets tjänster, och vilka samhälleliga och ekonomiska konsekvenser det kan få.
Lägg därtill att verksamhetens ledning ska ta till sig detta och besluta om vilka åtgärder som ska vidtas.
En tredje fallgrop handlar om att ryckas med i den hype som basunerar ut vad som anses hetast här och nu. Många teknikval en verksamhet gör är emellertid mycket långsiktiga. Viktigt att tänka på är att säkerhet behöver säkerställas över tid samtidigt som vi lever i en föränderlig värld.
Det gör det viktigt att ha kundmakt i förhållande till de leverantörer där din verksamhet driftar applikationer. Då förbättras förutsättningarna för att leverantören upprätthåller en hög säkerhet samt att du får gehör för dina önskemål och kan förhandla om avtalsvillkor, även i framtiden.
En grundförutsättning för kundmakt är en reell möjlighet att kunna lämna leverantören. Ju mer din verksamhet använder proprietära funktioner som är unika för en viss leverantör, desto större blir verksamhetens beroende till just den leverantören. Mest kundmakt får din verksamhet om den driftar sina applikationer i en molnlösning som är leverantörsneutral.
Aktuell Säkerhet jobbar för alla som vill göra säkrare affärer och är därför en säker informationskälla för säkerhetsansvariga inom såväl privat som statlig och kommunal sektor. Vi strävar efter förstahandskällor och att vara på plats där det händer. Trovärdighet och opartiskhet är centrala värden för vår nyhetsjournalistik
Anmäl dig till vårt nyhetsbrev!
Genom att klicka på "Prenumerera" ger du samtycke till att vi sparar och använder dina personuppgifter i enlighet med vår integritetspolicy.
