• Digital säkerhet
  • Traditionell säkerhet
  • I FOKUS
  • Nyhetsbrev

NIS2 ställer tuffa krav – räddningen är utmärkta instruktioner

Det är nästintill allas skyldighet att ha en förståelse för vad EU:s NIS2-direktiv innebär. Det innebär höga krav, som om de inte uppfylls kan leda till sanktioner och dryga böter. Som tur är finns det redan nu utmärkta instruktioner för det arbete som behöver göras och fler är på väg. Använd den hjälpen, skriver Emanuel Lipschütz, oberoende cybersäkerhetsexpert.

-

NIS2 är namnet på EU:s direktiv om nät- och informationssäkerhet, som kommer omsättas i svensk lag genom den så kallade cybersäkerhetslagen. Syftet med NIS2 är att höja motståndskraften i hela EU, vilket i grunden ska göras med ett systematiskt riskbaserat arbete med informationssäkerhet. 

Vi påverkas inte av NIS2, så då kan vi bortse från det, kanske du tänker? Nej! Att säkra hela leveranskedjor är en viktig del av NIS2. Leverantörer som är del av verksamhetskritiska system och tjänster påverkas indirekt av högre cybersäkerhetskrav. Säkerheten är inte starkare än den svagaste länken.

Organisationer som inte påverkas direkt av NIS2, men som levererar till organisationer som påverkas behöver tänka på följande:

  • Ökade cybersäkerhetskrav
  • Krav på riskhantering
  • Incidentrapportering
  • Krav på transparens och dokumentation
  • Utbildningskrav
  • Säkerhetsmedvetenhet
  • Följa internationella standarder
  • Hantering av leverantörsgranskningar 

Inbegriper personligt ansvar

Om det slarvas med det systematiska riskbaserade informationssäkerhetsarbetet kan följderna bli allvarliga. Till att börja med finns det sanktioner, vilket många fasar för. Enligt NIS2-direktivet så kan en verksamhet drabbas av dryga böter och i det förslag som ligger till grund för den kommande cybersäkerhetslagen är det högsta beloppet på 120 miljoner kronor.

Nu kommer det första som tillsynsmyndigheterna gör säkerligen inte vara att besluta om sanktioner utan snarare om förelägganden. Men om det finns uppsåt eller grov oaktsamhet och det sker ett intrång så ökar risken för en sanktion markant.

Det som kanske är mest fasansfullt är att förslaget på den nya cybersäkerhetslagen inbegriper ett personligt ansvar. Det kan drabba personer i ledande ställning om den nya lagen inte följs när den träder i kraft. Personerna kan förbjudas att utöva ledningsfunktioner om ett föreläggande inte efterlevs. Att strunta i lagen och inte påbörja ett systematiskt riskbaserat arbete med informationssäkerhet kan ses som grov oaktsamhet. Vi kommer med stor sannolikhet att få veta hur lagen kommer att tolkas.

Kraven som finns i NIS2-direktivet och den nya lagen kan kännas övermäktiga. Men det finns mycket bra riktlinjer att följa för dem som påverkas av NIS2, direkt eller indirekt, i form av bilagor till direktivet. I skrivande stund finns det ett utkast som är riktat mot dem som levererar digitala tjänster, men det innehåller värdefulla rekommendationer och praxis (bästa  arbetssätt) som alla organisationer bör ta del av. Det är detaljerade instruktioner för samtliga områden som behandlas av NIS2.

Implementationsguide publicerad

EU:s cybersäkerhetsorgan ENISA publicerade också nyligen en implementationsguide, med mycket bra rekommendationer, samt exempel på hur efterlevnad av direktivet bör dokumenteras för uppföljning och granskning.

Så här bör man förbereda sig och påbörja arbetet:

  • Genomför en övergripande verksamhetsanalys samt identifiera verksamhetens skyddsvärden.
  • Titta på ert företag – jämför med implementationsguiderna och de övergripande krav som finns i NIS2-direktivet.
  • Analysera (GAP-analys) vad som finns på plats och identifiera vad som saknas.
  • Genomför en verksamhetsövergripande riskanalys ur ett allriskperspektiv.
  • Skapa en dokumenterad lista över risker och prioritera att hantera de största riskerna mot er verksamhet.
  • Prioritera hårt efter en tydlig långsiktig planering och börja åtgärda de identifierade riskerna och de gap som finns utifrån de krav som finns i NIS2-direktivet och de guidande dokumenten.
  • Säkerställ att detta arbetsflöde fortsätter över tid med målet att ständigt förbättra ert säkerhetsarbete.
Emanuel Lipschütz, oberoende cybersäkerhetsexpert

Se också till att rapportera resultatet av arbetet och att högsta ledningen kontinuerligt tar del av rapporteringen. Det är viktigt att säkerhetsåtgärderna är proportionella i förhållande till risk, storlek, kostnad, samt påverkan och allvarlighetsgrad för möjliga incidenter. Det innebär att grunden för arbetet bör utgå ifrån riskanalyser. Om ni väljer att inte göra något åt en stor risk, se till att formulera en tydlig beskrivning av varför. Ett nyttigt tips är att alltid dokumentera hur ni tänkt.

REKLAMSAMARBETE

En pionjär inom molnindustrin

– Vi har sysslat med det här sedan 1994, säger Pierre Racz, företagets grundare och vd. – Jag designade och skrev större delen av koden...

FLER NYHETER

Tidigare generaldirektör för Arbetsmiljöverket ansluter till Ansvar Säkerhet

Rekryteringen kommer i samband med att Ansvar Säkerhet breddar sitt tjänsteutbud med insatser mot arbetslivskriminalitet.– Den privata sektorn, och Ansvar Säkerhet i synnerhet, har...

REKLAMSAMARBETE

6 Reasons to choose Milestone XProtect

In today’s dynamic world, basic video recording barely scratches the surface of what your security system needs. You require a vigilant security posture, capable...

Advenica vinner miljonorder – ska utveckla it-säkerhetsprodukt för myndighet

Bolaget har nu vunnit en order från en svensk myndighet gällande fortsatt utveckling av en it-säkerhetsprodukt. Leverans av ordern kommer att ske från och...

REKLAMSAMARBETE

”Vi delar syfte – stärka Sveriges förmåga att hantera komplexa säkerhetsutmaningar”

Hallå där Pernilla Hörnfeldt, Mötesplats Samhällssäkerhet, i år är ni med som sponsor av Säkerhetsgalan som går av stapeln den 30 september i Stockholm...

RAPPORT: Skyhög ökning av av politiska attacker och utpressningsattacker mot nordiska mål

Författarna till rapporten konstaterar att det är hög tid för de europeiska länderna att både öka och koordinera sitt skydd mot de allt vanligare,...

Han blir ny CIO på Nexer Group

Mattias Liljenberg har tidigare arbetat på ledande bolag som Volvo Cars, MQ och CGI, där han ansvarat för allt från it-infrastruktur och säkerhet till...

REKLAMSAMARBETE

Säkerhet i världen, Europa och Sverige

Registreringen till Säkerhetsgalan slår upp dörrarna klockan tolv och sedan öppnas galan klockan 13 av värden Eva Hamilton. - När jag för första gången ledde...

Granskning av företags företrädare avgörande för att motverka brottslighet i upphandlingar

Problematiken med ekonomisk brottslighet har inte undgått någon, med en kriminell ekonomi som Polismyndigheten uppskattar omsätter mellan 100–150 miljarder kronor årligen. Kriminell ekonomi kan...

Intelligent kamerabevakning ska stoppa skadegörelse på skola

– SafeTeam lämnade den mest konkurrenskraftiga offerten och visade störst kompetens och erfarenhet inom kameraövervakning i skolvärlden, säger barn- och utbildningsnämnden i Askersunds kommun...

Proptech-bolaget Tryva expanderar till Danmark

– Tillsammans med Tryghed Danmark kan vi nu höja säkerheten även för danska fastighetsägare. Vi ser fram emot att etablera Tryva i ytterligare ett...

Tre cybersäkerhetstrender att hålla koll på inför 2025

Det här är en opinionstext. Åsikter som uttrycks är skribentens egna.#1: Autonoma AI-agenter utom kontrollEnligt analytikerfirman Gartner kommer AI-agenter att bli den viktigaste techtrenden...

Ny landschef för Prosero Finland

Jussi Virtanen har gedigen erfarenhet inom ledarskap och affärsutveckling i verksamheter med ett starkt utvecklings- och tillväxtfokus.– Med Jussi som ny landschef får vi...

Regeringen vidtar åtgärder för att stoppa indentitetsmissbruk

Riksrevisionen har granskat Migrationsverkets, Polismyndighetens, Skatteverkets, Statens servicecenters, Försäkringskassans och Pensionsmyndighetens arbete samt regeringens styrning av myndigheternas arbete. Riksrevisionens slutsatser är att det finns...

Cynode blir Proofpoint MSP-partner i Norden

Partnerskapet gör det möjligt för Cynode att leverera Proofpoints säkerhetslösningar till kunder i Sverige, Norge, Danmark och Finland.– Vår certifiering som Proofpoint MSP-partner ligger...

Norrköpings kommun tecknar avtal med Avarn

I avtalet ingår tillsynsbevakning med larmutryckning, liksom mobila ordningsvakter, som patrullerar gator och torg.– Tjänsterna startar i olika omgångar, först ut är våra mobila...

RAPPORT: Sverige tappar i AI-racet

AI Readiness Index är en global undersökning från Cisco som nu publiceras för andra året. I den undersökning som gjordes 2023 låg svenska företag...

Ett förstärkt moln: Så möter du cyberhoten i AI-eran

Det här är en opinionstext. Åsikter som uttrycks är skribentens egna.Attacken påverkade stora delar av det svenska samhället under ett par dagar och är...