Inga produkter i varukorgen.
NIS2 är här – förbered bolaget för svenska cybersäkerhetslagen
SÄKERHET Implementeringen på nationell nivå av det EU-gemensamma direktivet NIS2 dröjer, men inom ett halvår kan den svenska cybersäkerhetslagen vara ett faktum. Det företag som inte inlett sitt NIS2-arbete börjar alltså få bråttom, menar Klas Bergwall, Chief Security Officer på techbolaget Advania.
Foto: Filip Palmbäck/Adobe Stock
Efter NIS kom NIS2, ett uppdaterat och utvidgat EU-direktiv med syfte att höja nätverks- och informationssäkerheten i samtliga medlemsländer. I Sverige har den nationella implementeringen dröjt men till början av år 2026 väntas den svenska varianten vinna laga kraft. Direktivet omfattar verksamheter i samhällsviktiga sektorer, som energi, hälso- och sjukvård, leverans och distribution av dricksvatten, digital infrastruktur och offentlig förvaltning. Den som inte lever upp till kraven på riskhantering och rapportering riskerar dryga böter.
– Om man inte redan har påbörjat arbetet med att NIS2-anpassa sin verksamhet måste man göra det nu. Det är inte många månader till januari, och det här är en förändringsresa som tar tid, säger Klas Bergwall, Chief Security Officer på techbolaget Advania, som hjälper andra företag med rådgivning och implementering av NIS2.
Sedan Europeiska unionen antog direktivet i december 2022 har kraven förtydligats med efterföljande propositioner och guider. Advanias sätt att säkerställa efterlevnaden har varit etablerandet av ett NIS2-projekt, där personer med nyckelkompetenser ingår.
– I gruppen finns dels säkerhetsresurser, förstås, dels legal-resurser och riskresurser. Det händer exempelvis att det dyker upp frågor av juridisk karaktär som inte säkerhetssidan är lika lämpade att hantera, säger Klas Bergwall.
Börja med en gapanalys
Vad har då Advanias NIS2-projektgrupp gjort? Till att börja med har de utfört en så kallad gapanalys, för att identifiera vilka av kraven i NIS2 de lever upp till och vilka ytterligare åtgärder som måste till.
– Kraven i NIS2 spänner över 13 områden, som gapanalysen behöver omfatta. Bland annat handlar det om åtkomstkontroll, incidenthantering och rapportering, och risk management. Det här ska in i olika processer och rutiner, så det krävs att många kompetenser involveras, även HR, säger Klas Bergwall.
Fakta
Den verksamhetsutövare som omfattas av NIS2 ska:
- Identifiera att man omfattas och anmäla sig.
- Etablera/upprätthålla ett systematiskt arbete med informationssäkerhet, införa lämpliga säkerhetsåtgärder och utbilda ledning såväl som personal.
- Rapportera in incidenter som medför eller kan medföra betydande störningar.
Källa: MSB
Just incidentrapporteringen är ett område där NIS2 medfört en märkbar förändring, tycker han. Så kallade betydande incidenter ska rapporteras till MSB, Myndigheten för samhällsskydd och beredskap, flera gånger: en varning inom 24 timmar, en anmälan inom 72 timmar, och en slutrapport inom en månad.
– En annan förändring för oss är leverantörsuppföljningar, som vi gör sedan tidigare men där det krävs mycket tydligare dokumentation under NIS2 på att de också följer kraven. Allt måste kunna ledas i bevis eftersom det kan ske tillsyn, säger Klas Bergwall.
Kan det bli väldigt resurskrävande?
– Det varierar nog mellan organisationer, beroende på hur långt man kommit i sitt informationssäkerhetsarbete. Advania är ISO 27001-certifierade, så vi täcker redan en stor del av NIS2-kraven med ledningssystem och strukturer på plats. Utan sådan certifiering har man troligen ett större arbete att göra.
Förtydligande i juni
I väntan på den svenska lagen kom i juni i år ett vägledande dokument från EU:s cybersäkerhetsorgan ENISA, som förtydligar genomförandet av NIS2. Klas Bergwall rekommenderar andra svenska företag att ha koll på dokumentet, kallat NIS2 Technical Implementation Guidance.
– Det finns också en mappningstabell över NIS2-kraven kontra andra standarder och ramverk, mot vilken man kan jämföra sitt nuvarande IT-säkerhetsarbete. Så kanske man ser att man redan täcker en del av kraven.
Efterlevnaden kommer att kontrolleras av en rad tillsynsmyndigheter; ibland kan en och samma verksamhet ha flera tillsynsmyndigheter till och med. Och det är upp till varje enskild aktör att ta reda på huruvida man omfattas av lagen, vilken myndighet som i så fall har tillsynsansvar, och anmäla sig till denna.
– Tillsynsmyndigheterna kommer också med specifika föreskrifter som tydliggör ytterligare exakt vad som förväntas. Har man redan nu ett pågående NIS2-arbete så kan det hända att det behöver justeras givet tillsynsmyndighetens föreskrifter, säger Klas Bergwall, som uppmanar företagsledare att ta reda på om man omfattas av NIS2 eftersom ”det börjar brännas”.
– Diskussionerna har pågått länge men nu närmar sig den faktiska implementeringen. Flera sektorer har tillkommit i det uppdaterade direktivet så det behöver man ha koll på, och sätta i gång med gapanalysen: nuläge, sedan åtgärdsplan.
Kan åläggas sanktioner
Om man inte anmäler sig till rätt tillsynsmyndighet, alternativt om bristerna i informationssäkerhetsarbetet är stora, riskerar man ekonomiska sanktioner.
Fakta
Ledningens ansvar enligt NIS2:
- Ledningen ska genomgå utbildning om riskhanteringsåtgärder.
- Enligt direktivet ska ledningen godkänna de riskhanteringsåtgärder som vidtas och övervaka genomförandet av dem.
- Ledningen ska också kunna ställas till svars för överträdelser när det gäller verksamhetsutövarens riskhanteringsåtgärder. I särskilda fall föreslås tillsynsmyndigheterna kunna ingripa genom att ansöka om att en person inte ska få vara befattningshavare hos en viss verksamhetsutövare.
- För aktiebolag avser ledningsorganet styrelse och vd.
Källa: MSB
– Väsentliga verksamheter riskerar böter på 10 miljoner euro eller två procent av den totala omsättningen. Man kan också få anmärkningar, åläggas att informera användare om betydande cyberhot och offentliggörande av överträdelsen.
Klas Bergwall tror inte att företagens administrativa börda kommer att öka nämnvärt till följd av den nya lagen, beroende på hur långt man kommit i sitt strukturerade säkerhetsarbete. Han betonar att bland annat MSB har gott om information för den osäkre.
– Det kan bli lite rörigt i början. Men det lagen innebär är att lägstanivån höjs och vi kommer att se en högre mognadsgrad i hela Sverige, vilket är syftet, säger han.
