NIS2 kan beröra fler än man tror
NIS2-direktivet ska stärka cybersäkerheten inom EU och i höst är det skarpt läge. Även om 18 tydliga sektorer pekas ut kan fler verksamheter omfattas, exempelvis betydande underleverantörer till samhällsviktiga företag.
Det första NIS-direktivet, som sedan 2018 ligger till grund för lagen om informationssäkerhet för samhällsviktiga och digitala tjänster, kompletteras den 17 oktober i år av NIS2-direktivet. Det innebär även att Sverige får en ny cybersäkerhetslag vid årsskiftet.
Syftet med NIS2 är att skapa en hög gemensam säkerhetsnivå inom EU. Det betyder bland annat tydligare krav på riskanalyser och olika säkerhetsåtgärder samt att ledningen deltar i verksamhetens cybersäkerhetsarbete.
– EU vill bygga förutsättningar för européer att leva i ett digitaliserat samhälle, som är robust, tryggt, jämlikt och demokratiskt, säger Carl-Johan Ekelund, Team Lead för säkerhet på Atea, när han föreläser om ämnet under Atea Bootcamp.
- Kontroll på säkerhetsarbetet
- Ökad kunskap och medvetenhet
- Trovärdighet mot intressenter
- Tryggare kunder
- Efterlevnad
Större omfång än tidigare
Det nya direktivet berör 18 sektorer, elva högkritiska och sju kritiska (se faktaruta), men det är inte helt självklart för alla verksamheter om de omfattas eller inte. Det kan finnas en och annan slamkrypare, konstaterar Carl-Johan Ekelund.
– Omfånget på definitionen av vilka verksamheter som anses samhällsviktiga är lite större än vad det var i det ursprungliga NIS-direktivet. Om ett samhällsviktigt företag inte klarar sig utan en viss underleverantör, som hjälper till med det dagliga arbetet, åker det bolaget också med. Därför kan det finnas anledning för alla att dyka djupare in i om man omfattas eller inte.
Högkritiska:
- Energi
- Transporter
- Bankverksamhet
- Finansmarknadsinfrastruktur
- Hälso- och sjukvård
- Dricksvatten
- Avloppsvatten
- Digital infrastruktur
- Förvaltning av IKT-tjänster (mellan företag)
- Offentlig förvaltning
- Rymden
Kritiska:
- Post- och budtjänster
- Avfallshantering
- Tillverkning, produktion och distribution av kemikalier
- Produktion, bearbetning och distribution av livsmedel
- Tillverkning (medicinska produkter)
- Digitala leverantörer
- Forskning
Certifiering kan bli framtida krav
NIS2 innehåller tydliga minimikrav, rapporteringskrav och sanktionsavgifter. Näringsförbud är den yttersta konsekvensen för någon som bryter mot regelverket.
En högkritisk sektor har en så kallad proaktiv tillsyn, det vill säga innan något händer, medan en kritisk sektor bara får tillsyn vid klagomål eller om något går snett.
Carl-Johan Ekelund ser en stor nytta med NIS2.
– Det handlar om att bygga en robust infrastruktur och robusta arbetssätt, så att man kan stå emot det som händer. Om man efterlever NIS2-direktivet och kanske har en certifiering, vilket det har talats om i framtiden, kan man visa att man är ett bra och pålitligt företag. På sikt tror jag att det kommer att ställas krav på underleverantörer att de ska vara NIS2-certifierade för att man ska våga anlita dem.
Säkerhetsprogram en bra grund
Ett bra sätt att ta sig an utmaningen med NIS2 är att bygga ett säkerhetsprogram, som kartlägger och analyserar verksamhetens behov. Programmet slår fast vad som behöver göras och när samt var ansvaret ligger.
En bra sak med NIS2, enligt Carl-Johan Ekelund, är att samtliga elva minimikrav inte enbart landar på it-avdelningen, utan även på ledningen, HR och verksamheten själv.
– Det är viktigt att den exekutiva sammanfattningen i säkerhetsprogrammet är skriven på ett begripligt sätt för just den verksamheten. I princip alla i ledningsgruppen och styrelsen ska kunna läsa det och förstå i vilken ordning olika saker behöver adresseras. Det får inte bli en för teknisk eller för fluffig rapport, utan den ska vara krispig och on point för verksamheten.
Läs mer om NIS2 och hur vi kan hjälpa din verksamhet.
**************************
Text: Johan Bentzel
Foto: John Resborn