Hög tid att rusta verksamheten för NIS2
Det brådskar. I Sverige ska NIS2-direktivet införlivas genom en ny lag, cybersäkerhetslagen - vilken föreslås träda i kraft 1 januari 2025. Men hur gör man för att leva upp till kraven? Här berättar Carl Lundskog om hur några av Ateas kunder resonerar.
Säkerhetsläget i Europa och resten av världen är oroligt och oförutsägbart.
Carl Lundskog, specialist inom informationssäkerhet på Atea.
Vi ser en kraftig ökning av cyberkriminell aktivitet under 2023. Europa, Mellanöstern och Afrika är hårdast utsatta för så kallade DDoS-attacker, visar Threat Intelligence Report från Netscout. Och det är bara ett exempel.
För att nå en gemensam, hög cybersäkerhetsnivå hos alla medlemsstater har EU tagit fram NIS2, en uppdatering av direktivet NIS från 2016. Direktivet ska i Sverige införlivas genom en ny lag, Cybersäkerhetslagen, som utredningen föreslår ska träda i kraft 1 januari 2025.
– I NIS2 är det fler verksamheter som ska kunna redovisa hur de systematiskt och kontinuerligt arbetar med cybersäkerhet och informationssäkerhet. Här finns också ett större fokus på att verksamhet och leveranser inte ska stanna av vid en cyberattack, säger Carl Lundskog, specialist inom informationssäkerhet på Atea.
I ett större perspektiv handlar NIS2 trots allt om att skydda företag och verksamheter som bidrar till Europas förmåga att fortsätta leverera samhällsviktiga tjänster.
Steg ett, slå fast juridisk tillhörighet
Det senaste året har Carl Lundskog och hans kollegor hjälpt flera verksamheter (privata och offentliga) att kartlägga, analysera och belysa vad som behöver förändras och förstärkas, så de kan leva upp till NIS2-direktivet.
– Det första vi gör är att, tillsammans med kunden, slå fast vilken juridisk entitet de utgör, och om de bedriver väsentlig eller viktig verksamhet. Den här uppdelningen påverkar dels hur höga sanktionsavgifter som verksamheten kan beläggas med vid en revision. Den påverkar också hur åtgärderna viktas i den handlingsplan som överlämnas i slutet av projektet, säger Carl Lundskog.
Väsentliga verksamheter (med juridiska termer: enheter) är aktörer som ansvarar för exempelvis energiförsörjning, dricksvatten, sjukvård, bank och finans samt datacenter och vissa moln- och it-säkerhetstjänster. Bland viktiga enheter hittar vi till exempel livsmedelsproduktion, avfallshantering och posttjänster.
Kartläggning ger koll på brister
När den juridiska entiteten är fastslagen är nästa steg att kartlägga: nuläge, önskat läge och vad som krävs för att ta sig däremellan.
– Vi genomför en workshop som gör att alla får samma bild av varför, vad, när och hur verksamheten behöver en kartläggning, analys och förslag på förbättringar för att stå väl rustade inför NIS2.
Det som brukar uppskattas allra mest (av Ateas kunder) är att någon av Ateas konsulter beskriver värdet av det förberedande NIS2-arbetet: Hur arbetet går till och vad konsekvenserna kan bli om direktivet inte efterlevs.
– Flera av våra kunder återkommer till detta. Hur viktigt det är att det kommer in en konsult utifrån som med tyngd och erfarenhet beskriver värdet av NIS2-arbetet. Det gör att alla från ledningsgrupp till produktion blir extra motiverade när det är dags för intervjuer och själva arbetet med att stärka säkerheten, säger Carl Lundskog.
Djupintervjuer och tekniska tester
För att på få insikt i hur verksamheten klarar att leva upp till NIS2-direktivet genomför Atea i nästa steg djupintervjuer med medarbetare i olika delar av verksamheten.
För att bli konkret: Om du har en verksamhet med 300 anställda kan det röra sig om sju djupintervjuer. De roller som berörs av intervjuerna kan vara: Ledningsgrupp, drift (operations), it-arkitektur, it-säkerhet, leverans, logistik samt produktion.
– Jag talade med en kund igår som berättade att hon uppskattar att både fokus och frågor under intervjuerna känns väldigt värdefulla, säger Carl Lundskog.
Förslag på åtgärder i handlingsplan
I nästa stag analyserar Atea intervjuerna och summerar förslag på prioriterade åtgärder i en handlingsplan.
- NIS2-direktivet införlivas genom den nya cybersäkerhetslagen. Utredningen föreslår att förslagen ska träda i kraft 1 januari 2025.
- I februari 2023 tillsatte regeringen en utredning om genomförandet av NIS2-direktivet samt EU:s direktiv om kritiska entiteters motståndskraft.
- Utredningen redovisade sitt uppdrag 5 mars 2024.
- Fram tills den nya regleringen (NIS2) är på plats gäller den nuvarande nationella NIS-regleringen.
- Följ utveckling och beslut på regeringen.se
Om det förekommer motstridiga svar i intervjuerna (det förekommer!) kompletteras de med tekniska tester för att verifiera vilket svar som stämmer bäst.
I ett sista steg går Atea igenom handlingsplanen med kunden och diskuterar de åtgärder som prioriterats högst.
– I början av projektet kan vissa personer uppleva ett visst motstånd i stil med ”Hjälp, hur ska vi hinna med det här?!”. Men i slutet av projektet brukar de flesta reflektera över det värde som uppstått och säga saker som ”Så skönt, nu har vi koll på vad som fungerar väl och vilka säkerhetsluckor som måste täppas till”, summerar Carl Lundskog.
I det här läget har kunden alltså fått en handlingsplan och en struktur att arbeta efter.
Vad är det största värdet med att ta hjälp för att leva upp till kraven i NIS2?
– En av de största vinsterna är att man får en övergripande samsyn på it-säkerhet, informationssäkerhet och vad som kan hända om man inte täpper till de luckor som finns. Så här i slutskedet finns en stor förståelse hos alla berörda och ledningsgruppen är väl medveten om att de kan ställas till svars (även personligen) om verksamheten inte lever upp till NIS2-kraven.
Utse en ägare till projektet ”Så blir vi redo för NIS2”. Ledningsgruppen är ytterst ansvarig. Men det är klokt att utse en projektledare som ser till att jobbet blir gjort.
Ta in en konsult (exempelvis Atea) som med tyngd kan förklara hur ett systematiskt riskarbete bedrivs. Gärna någon som varit revisor inom till exempel ISO 27001 under många år. ”Vi hade stor nytta av Ateas konsulter här, de fick hela verksamheten att inse hur viktigt det är att vi tar de här frågorna på allvar”, säger en av Ateas kunder.Läs på. Det finns checklistor som du kan ladda ned från regeringen och myndigheter som beskriver de steg som ni behöver gå igenom.Anlita en konsult för workshop, intervjuer, analys och handlingsplan. ”Det är lite som att anlita en PT, då blir jobbet gjort”, säger en av Ateas kunder.En reflektion. Hela processen blir betydligt enklare om ni redan är ISO 27001-certifiera och ni redan gjort er redo för det första NIS-direktivet.
- EU kan utlysa sanktionsavgifter vid brist på efterlevnad av direktivet. Hur stor boten blir avgörs av hur viktig verksamhet du bedriver – och hur allvarlig incidenten är.
- Ledningen har ett personligt ansvar. NIS2 listar vad ledningen ska göra för att fullfölja sitt ansvar. Bland annat ska de utbilda sig och öka sin kompetensnivå inom informationssäkerhet. Man kan nu alltså bli personligen ansvarig för bristande informationssäkerhet. Var noga med att rapportera till ledningen löpande. Använd gärna systemstöd som kan visa hur organisationen ligger till.
- Fler detaljerade krav på åtgärder. Det nya direktivet innebär högre krav på ett systematiskt och kontinuerligt informationssäkerhetsarbete. I artikel 21 kan du ta del av 10 punkter som din verksamhet ska leva upp till för att efterleva direktivet. Den detaljnivån fanns inte i det första NIS-direktivet.
- Agera nu. Den nationella anpassningen till NIS2 ska vara klar till januari 2025. Men det finns stor anledning att agera skyndsamt, för att vara säker på ett din verksamhet kan leva upp till direktivet.
Carl Lundskog, specialist inom informationssäkerhet
E-post: carl.lundskog@atea.se