“Cybersäkerhet är inte bara en teknisk fråga, utan en fråga om förtroende och samarbete.”
Det inledande citatet är tänkt att ge en fingervisning om att NIS2 och den kommande svenska ”Cybersäkerhetslagen” som ju är den nationella tillämpningen av det Europeiska NIS2 direktivet, inte på något sätt är uteslutande en IT fråga. Den nya lagen väntas träda i kraft sensommaren 2025, för uppdaterad information kring detta så rekommenderar jag att besöka Myndigheten för samhällsskydd och Beredskap som har det senaste i hur det går i frågan (
www.msb.se).
Att NIS2 är mer än bara en IT fråga blir ganska uppenbart när man börjar titta närmare på vad direktivet säger. NIS2 ställer krav på att högsta ledningen i organisationer aktivt ska delta i cybersäkerhetsarbetet. Detta innebär att cybersäkerhet blir en strategisk fråga som måste integreras i organisationens övergripande affärsstrategi och beslutsfattande. Direktivet kräver vidare att organisationer genomför omfattande riskanalyser och implementerar lämpliga säkerhetsåtgärder. Detta innebär att riskhantering och säkerhetsåtgärder måste vara en del av den dagliga verksamheten och inte bara en teknisk fråga. För att effektivt hantera cybersäkerhetsrisker krävs en kulturell förändring inom organisationen där alla medarbetare är medvetna om och engagerade i säkerhetsfrågor. Cybersäkerhet berör många olika delar av en organisation, inklusive IT, juridik, HR och kommunikation. Ett effektivt cybersäkerhetsarbete kräver samarbete över dessa avdelningar. Cybersäkerhet är avgörande för att säkerställa affärskontinuitet. En säkerhetsincident kan påverka hela verksamheten, vilket gör det viktigt att ha robusta säkerhetsåtgärder på plats.
Genom att ta hänsyn till dessa aspekter blir det tydligt att NIS2-direktivet inte bara handlar om IT, utan om att skapa en holistisk och integrerad strategi för cybersäkerhet som involverar hela organisationen!
NIS2-direktivet, som antogs av EU i december 2022, är en uppdatering av det ursprungliga NIS-direktivet från 2016. Syftet med NIS2 är att stärka cybersäkerheten inom EU genom att införa strängare krav på riskanalyser, säkerhetsåtgärder och incidentrapportering för organisationer som levererar samhällskritiska och samhällsviktiga tjänster.
NIS2 omfattar sektorer som energi, transport, hälso- och sjukvård, finans och digital infrastruktur. Dessa sektorer är avgörande för samhällets funktion och säkerhet, vilket gör att cybersäkerhet blir en fråga om nationell säkerhet och samhällsstabilitet. Bristande efterlevnad av NIS2 kan leda till betydande böter och andra sanktioner. Detta innebär att organisationer måste säkerställa att de följer direktivet för att undvika juridiska och ekonomiska konsekvenser. Det är tydligt att en organisations högsta leding är utpekad som ansvarig i frågan, det vill säga inte enbart någon IT-chef eller IT-ansvarig.
En av de mest betydande förändringarna med NIS2 kontra NIS, är att fler sektorer och organisationer nu omfattas av direktivet. Detta innebär att fler aktörer måste följa de nya reglerna och säkerställa att deras nätverk och informationssystem är tillräckligt skyddade mot cyberhot. Dessutom ställs högre krav på ledningens engagemang i cybersäkerhetsarbetet, vilket understryker vikten av att cybersäkerhet är en strategisk prioritet på högsta nivå inom organisationer.
NIS2-direktivet innebär också att sanktionsavgifterna för bristande efterlevnad blir högre, vilket ytterligare betonar vikten av att följa de nya reglerna. I Sverige förväntas NIS2-direktivet via den nya ”Cybersäkerhetslagen” träda i kraft under tidigast sommaren 2025, och arbetet med att anpassa den svenska lagstiftningen pågår för fullt.
Genom att stärka cybersäkerheten på detta sätt hoppas EU kunna skapa en säkrare digital miljö för alla medborgare och företag inom unionen.
Behöver jag bekymra mig? Ännu en EU grej men rör det verkligen oss?
För att avgöra om ditt företag eller organisation omfattas av NIS2, behöver du gå igenom några nyckelfaktorer baserade på direktivets kriterier. Här är de viktigaste stegen för att avgöra om NIS2 gäller för dig:
1. Sektor och verksamhet
NIS2 gäller för företag och organisationer inom specifika sektorer som anses vara "kritiska" för samhällsfunktioner och ekonomisk stabilitet. Om du är verksam inom någon av dessa områden, kan du omfattas:
- Energisektorn (ex. elproduktion, gasdistribution, oljeraffinering)
- Transportsektorn (ex. luftfart, järnväg, vägtransporter, hamnar)
- Finansiella tjänster (ex. banker, försäkringsbolag)
- Hälso- och sjukvård (ex. sjukhus, läkemedelsföretag)
- Vattenförsörjning och avlopp
- Digital infrastruktur (ex. datacenter, molntjänster)
- Livsmedelsförsörjning (ex. livsmedelsproduktion, distribution)
Om ditt företag tillhör en av dessa sektorer är det troligt att du omfattas, men det finns också andra sektorer som kan bli berörda beroende på specifika verksamheter.
2. Storlek och typ av organisation
NIS2 gäller även för vissa typer av leverantörer som stöder de kritiska sektorerna. Om ditt företag tillhandahåller tjänster som är avgörande för de kritiska sektorerna, även om du inte själv är direkt verksam inom en sådan sektor, kan du också omfattas.
Stora och medelstora företag inom de nämnda sektorerna är de mest troliga att omfattas, medan små företag kanske inte gör det (beroende på specifika undantag i nationella regler).
Tjänsteleverantörer som t.ex. molntjänstleverantörer eller IT-tjänsteföretag som arbetar med kritisk infrastruktur är också ofta inom NIS2:s räckvidd.
3. Tjänst- och systemberoende
För att omfattas av NIS2 måste ditt företag eller organisation driva system eller tjänster som är "kritiska" för verksamheten inom de sektorer som nämns. Det innebär att om en störning i dina system skulle orsaka allvarliga samhälleliga eller ekonomiska konsekvenser, så gäller troligen NIS2 för dig.
4. Övervägande faktorer
Här är några frågor som kan hjälpa dig att avgöra om du omfattas:
- Är din verksamhet inom en kritisk sektor som påverkar samhället, hälsan eller säkerheten (t.ex. energi, sjukvård, transport)?
- Erbjuder du tjänster som är avgörande för andra organisationer inom dessa sektorer?
- Är ditt företag medelstort eller stort, och hanterar det stora mängder data eller viktig digital infrastruktur?
5. Nationella regler och vägledning
Varje EU-land måste också anpassa NIS2 till sina egna regler och ge vägledning om exakt vilka organisationer som omfattas. Det kan vara bra att kolla med den nationella myndigheten för cybersäkerhet (t.ex. MSB i Sverige) eller motsvarande, för att få mer detaljerad information om just ditt lands implementering av NIS2.
För att avgöra om du omfattas av NIS2, måste du beakta:
- Om din verksamhet finns inom en kritisk sektor.
- Om ditt företag tillhandahåller kritiska tjänster eller infrastruktur för andra sektorer.
- Din verksamhets storlek och påverkan på samhället.
- Det kan vara bra att rådgöra med en expert på cybersäkerhet eller juridik för att säkerställa att du uppfyller de specifika kraven i NIS2 och för att få vägledning om hur du kan anpassa din organisation till dessa regler.
Utredningen (SOU 2024:18) slår fast att statliga myndigheter och regioner omfattas, och föreslår att detta också ska gälla alla kommuner. Mer specifikt är SOU 2024:18 en del av den utredning som undersöker hur Sverige kan genomföra och anpassa sin cybersäkerhetslagstiftning för att möta de nya och skärpta krav som EU:s NIS2-direktiv innebär. Exakta kriterier för vad som gäller i Sverige kommer när lag och föreskrifter är klara, men det går att få en god bild genom att läsa artikel 3 samt bilaga 1 och 2 i NIS2 direktivet.
Att efterleva NIS2 kan kännas överväldigande till en början, men genom att följa ett strukturerat tillvägagångssätt kan du säkerställa att din organisation uppfyller de krav som ställs. Här är några steg för att hjälpa dig att efterleva NIS2 på bästa sätt:
1. Utvärdera om din organisation omfattas
Innan du vidtar några åtgärder, börja med att säkerställa att din organisation verkligen omfattas av NIS2. Som vi tidigare nämnt gäller direktivet för organisationer inom kritiska sektorer och de som tillhandahåller tjänster till dessa. Om du inte redan har gjort det, genomför en noggrann bedömning av din verksamhet och kontakta eventuellt myndigheter eller experter för vägledning.
2. Genomför en riskbedömning, mognadsmätning och GAP analys
En central del av NIS2 är att identifiera och hantera risker. För att börja följa direktivet måste din organisation genomföra en omfattande riskbedömning av alla nätverks- och informationssystem som används för att stödja din verksamhet.
Detta innebär att du behöver:
- Kartlägga alla kritiska system och data.
- Identifiera potentiella hot och sårbarheter.
- Bedöma möjliga konsekvenser om något system skulle utsättas för en attack eller incident.
3. Implementera robusta säkerhetsåtgärder
Enligt NIS2 måste organisationer implementera lämpliga tekniska och organisatoriska åtgärder för att hantera de identifierade riskerna. Detta kan innefatta:
- Brandväggar och intrångsdetekteringssystem (IDS/IPS) för att skydda nätverket.
- Kryptering av känsliga data, både i transit och vid lagring.
- Åtgärder för att säkerställa tillgångskontroll, exempelvis genom stark autentisering och rollbaserad åtkomstkontroll (RBAC).
- Kontinuitetsplaner och backup-lösningar för att hantera incidenter och minimera driftstopp.
- Regelbunden uppdatering och patchning av mjukvara för att minska sårbarheter.
4. Incidenthantering och rapportering
Enligt NIS2 ska organisationer rapportera allvarliga säkerhetsincidenter till myndigheterna inom 24 timmar efter att de upptäcks. För att följa denna regel måste du:
- Utveckla en incidenthanteringsplan som beskriver hur incidenter ska hanteras och rapporteras.
- Sätta upp ett system för snabb rapportering, så att du kan dokumentera incidenter och meddela rätt myndigheter inom tidsramen.
- Genomföra övningar och tester för att säkerställa att du kan hantera incidenter effektivt.
5. Uppföljning och kontinuerlig förbättring
Cybersäkerhet är en pågående process. NIS2 kräver att du inte bara inför säkerhetsåtgärder utan också att dessa åtgärder kontinuerligt utvärderas och förbättras. För detta kan du:
- Genomföra regelbundna säkerhetsrevisioner och riskbedömningar.
- Använda övervakning och loggning för att identifiera avvikelser och proaktivt upptäcka hot.
- Uppdatera policyer och procedurer baserat på lärdomar från incidenter och tester.
6. Utbilda och engagera personalen
En viktig aspekt av NIS2 är att utbilda och engagera hela organisationen i cybersäkerhetsarbete. Din personal måste vara medveten om de risker som finns och ha kunskap om säkerhetsrutiner. Åtgärder här kan inkludera:
- Regelbundna cybersäkerhetsutbildningar för att säkerställa att alla anställda vet hur de ska agera för att skydda organisationens system.
- Utveckla en kultur av säkerhet där alla i organisationen är medvetna om vikten av att följa säkerhetspolicyer och rutiner.
7. Samarbeta med leverantörer och partners
Om din organisation är beroende av tredjepartsleverantörer för att tillhandahålla kritiska tjänster eller infrastruktur, behöver du säkerställa att dessa också följer NIS2-kraven. Det innebär att du bör:
- Bedöma och följa upp dina leverantörers cybersäkerhetsåtgärder och se till att de uppfyller minimikrav enligt NIS2.
- Inkludera cybersäkerhetskrav i kontrakt med leverantörer och partners.
8. Dokumentera och rapportera efterlevnad
För att säkerställa att du kan visa efterlevnad av NIS2, dokumentera alla de åtgärder och processer som du vidtagit för att uppfylla kraven. Det är också viktigt att hålla koll på:
- Incidentrapporter och säkerställa att de rapporteras enligt direktivets regler.
- Säkerhetsåtgärder och kontroller som har implementerats.
9. Följ nationella och EU-regler
Slutligen är det viktigt att hålla sig uppdaterad om eventuella förändringar i lagstiftning och regler, både på EU-nivå och nationell nivå. Eftersom NIS2 ska implementeras i varje EU-land kan det finnas specifika nationella anpassningar som du behöver följa.
NIS2 & ”Cybersäkerhetslagen” ytterligare en pålaga eller en möjlighet att framtidssäkra er Verksamhet?
NIS2 är ett bindande direktiv från EU, vilket innebär att det är ett krav för medlemsländer att implementera det i sina nationella lagar. Företag och organisationer som omfattas av direktivet måste följa de regler och krav som fastställs, annars riskerar de böter och andra betydande sanktioner. Här är några sätt som NIS2 fungerar som en pålaga:
- Tvång att uppfylla säkerhetskrav: Organisationer som omfattas av NIS2 är tvingade att vidta åtgärder för att hantera cybersäkerhetsrisker, inklusive att genomföra riskbedömningar, införa tekniska och organisatoriska säkerhetsåtgärder och skapa incidenthanteringsplaner. Det innebär att de måste investera i cybersäkerhet och infrastruktur för att uppfylla minimikraven.
- Rapportering av incidenter: NIS2 kräver att organisationer rapporterar allvarliga säkerhetsincidenter till relevanta myndigheter inom 24 timmar, vilket innebär att organisationer måste ha effektiva system och processer för att kunna upptäcka och hantera incidenter snabbt.
- Böter och sanktionsmöjligheter: Om en organisation inte följer NIS2:s krav kan det få rättsliga konsekvenser, inklusive böter eller andra sanktioner, beroende på den nationella lagstiftningen. Detta skapar en tydlig pålaga för organisationer att agera.
- Nationell och internationell samordning: För att säkerställa att NIS2 genomförs effektivt, ställs det krav på att länder ska samordna sig och skapa gemensamma system för att hantera cybersäkerhet och säkerställa att säkerhetshot som påverkar flera länder kan hanteras snabbt och effektivt.
NIS2 som en möjlighet att framtidssäkra er verksamhet. Trots att NIS2 är ett krav, kan det också ses som en möjlighet för organisationer att förbättra sin cybersäkerhetspraxis, stärka sitt varumärke och förbereda sig för framtida utmaningar. Här är några sätt som NIS2 erbjuder möjligheter:
- Förbättrad cybersäkerhet och riskhantering: Genom att följa NIS2 och implementera de säkerhetsåtgärder som krävs får organisationer en strukturerad och beprövad metod för att identifiera, hantera och förebygga cybersäkerhetshot. Det leder till en starkare säkerhetskultur och minskad risk för dataintrång, vilket skyddar både företaget och dess kunder.
- Förstärkt förtroende: Företag som följer NIS2 kan stärka sitt rykte som ansvarsfulla aktörer när det gäller cybersäkerhet. Detta kan skapa förtroende hos kunder, partners och investerare, som vet att företaget tar cybersäkerhet på allvar. Det kan även vara en konkurrensfördel på marknaden, särskilt för organisationer som hanterar känslig eller personlig information.
- Långsiktig hållbarhet och affärsmöjligheter: Genom att följa NIS2 och förbättra sin cybersäkerhet positionerar sig företag bättre för att möta framtida regleringar och krav. Dessutom kan de dra nytta av förbättrade affärsrelationer och partnerskap, eftersom andra organisationer ofta söker leverantörer och samarbetspartner som har robusta cybersäkerhetsåtgärder på plats.
- Effektivare incidenthantering: Ett strukturerat tillvägagångssätt för att hantera incidenter, som NIS2 uppmuntrar, gör att företag kan agera snabbt och effektivt vid säkerhetsincidenter. Detta kan minska driftstopp och skador som uppstår vid dataintrång eller cyberattacker, vilket i sin tur minskar den ekonomiska påverkan.
- Nationellt och internationellt samarbete: NIS2 öppnar dörrar för bättre samarbete och informationsutbyte mellan företag, myndigheter och nationella cybersäkerhetsenheter. Detta kan leda till snabbare detektering av hot och en mer proaktiv cybersäkerhetsstrategi, vilket gynnar hela ekosystemet.
Samtidigt som NIS2 i grunden är en pålaga som organisationer måste följa för att undvika sanktioner, erbjuder det också en chans att stärka företagets långsiktiga cybersäkerhet och stärka dess konkurrenskraft. Om ni inte redan arbetar strukturerat med Er cybersäkerhet och informationssäkerhet idag, se NIS2 som det incitament som får Er att börja idag!
Det handlar om att ta det som ett tillfälle att förbättra och framtidssäkra sin verksamhet!
Behöver ni hjälp så finns vi på BiTA Service Management vid er sida!
Jonathan Sharp
Managementkonsult BiTA Service Management