Det här är en opinionstext. Åsikter som uttrycks är skribentens egna.
NIS2 är namnet på EU:s direktiv om nät- och informationssäkerhet, som kommer omsättas i svensk lag genom den så kallade cybersäkerhetslagen. Syftet med NIS2 är att höja motståndskraften i hela EU, vilket i grunden ska göras med ett systematiskt riskbaserat arbete med informationssäkerhet.
Vi påverkas inte av NIS2, så då kan vi bortse från det, kanske du tänker? Nej! Att säkra hela leveranskedjor är en viktig del av NIS2. Leverantörer som är del av verksamhetskritiska system och tjänster påverkas indirekt av högre cybersäkerhetskrav. Säkerheten är inte starkare än den svagaste länken.
Organisationer som inte påverkas direkt av NIS2, men som levererar till organisationer som påverkas behöver tänka på följande:
- Ökade cybersäkerhetskrav
- Krav på riskhantering
- Incidentrapportering
- Krav på transparens och dokumentation
- Utbildningskrav
- Säkerhetsmedvetenhet
- Följa internationella standarder
- Hantering av leverantörsgranskningar
Inbegriper personligt ansvar
Om det slarvas med det systematiska riskbaserade informationssäkerhetsarbetet kan följderna bli allvarliga. Till att börja med finns det sanktioner, vilket många fasar för. Enligt NIS2-direktivet så kan en verksamhet drabbas av dryga böter och i det förslag som ligger till grund för den kommande cybersäkerhetslagen är det högsta beloppet på 120 miljoner kronor.
Nu kommer det första som tillsynsmyndigheterna gör säkerligen inte vara att besluta om sanktioner utan snarare om förelägganden. Men om det finns uppsåt eller grov oaktsamhet och det sker ett intrång så ökar risken för en sanktion markant.
Det som kanske är mest fasansfullt är att förslaget på den nya cybersäkerhetslagen inbegriper ett personligt ansvar. Det kan drabba personer i ledande ställning om den nya lagen inte följs när den träder i kraft. Personerna kan förbjudas att utöva ledningsfunktioner om ett föreläggande inte efterlevs. Att strunta i lagen och inte påbörja ett systematiskt riskbaserat arbete med informationssäkerhet kan ses som grov oaktsamhet. Vi kommer med stor sannolikhet att få veta hur lagen kommer att tolkas.
Kraven som finns i NIS2-direktivet och den nya lagen kan kännas övermäktiga. Men det finns mycket bra riktlinjer att följa för dem som påverkas av NIS2, direkt eller indirekt, i form av bilagor till direktivet. I skrivande stund finns det ett utkast som är riktat mot dem som levererar digitala tjänster, men det innehåller värdefulla rekommendationer och praxis (bästa arbetssätt) som alla organisationer bör ta del av. Det är detaljerade instruktioner för samtliga områden som behandlas av NIS2.
Implementationsguide publicerad
EU:s cybersäkerhetsorgan ENISA publicerade också nyligen en implementationsguide, med mycket bra rekommendationer, samt exempel på hur efterlevnad av direktivet bör dokumenteras för uppföljning och granskning.
Så här bör man förbereda sig och påbörja arbetet:
- Genomför en övergripande verksamhetsanalys samt identifiera verksamhetens skyddsvärden.
- Titta på ert företag – jämför med implementationsguiderna och de övergripande krav som finns i NIS2-direktivet.
- Analysera (GAP-analys) vad som finns på plats och identifiera vad som saknas.
- Genomför en verksamhetsövergripande riskanalys ur ett allriskperspektiv.
- Skapa en dokumenterad lista över risker och prioritera att hantera de största riskerna mot er verksamhet.
- Prioritera hårt efter en tydlig långsiktig planering och börja åtgärda de identifierade riskerna och de gap som finns utifrån de krav som finns i NIS2-direktivet och de guidande dokumenten.
- Säkerställ att detta arbetsflöde fortsätter över tid med målet att ständigt förbättra ert säkerhetsarbete.
Se också till att rapportera resultatet av arbetet och att högsta ledningen kontinuerligt tar del av rapporteringen. Det är viktigt att säkerhetsåtgärderna är proportionella i förhållande till risk, storlek, kostnad, samt påverkan och allvarlighetsgrad för möjliga incidenter. Det innebär att grunden för arbetet bör utgå ifrån riskanalyser. Om ni väljer att inte göra något åt en stor risk, se till att formulera en tydlig beskrivning av varför. Ett nyttigt tips är att alltid dokumentera hur ni tänkt.