Inga produkter i varukorgen.
Så granskas NIS2 – detta tittar tillsynen på
TILLSYN
Med NIS2 får cybersäkerhet ett nytt rättsligt skärpeläge. Så här kommer tillsynen att fungera – och detta är det första myndigheten tittar på.
– Cybersäkerhet är inte längre en fråga som kan lämnas till it-avdelningen, säger Anna Söyland, jurist på PTS.
Anna Söyland. Foto: Adobe stock.
Cybersäkerhetslagen trädde i kraft den 15 januari och innebär att NIS2 nu ska följas i praktiken av de verksamheter som omfattas. För dessa innebär det att tillsyn kan inledas, dokumentation begäras in och ansvar prövas – i vissa fall även utan att någon incident har inträffat.
Någonting är fel
Du är inloggad som prenumerant hos förlaget Pauser Media, men nånting är fel. På din profilsida ser du vilka av våra produkter som du har tillgång till. Skulle uppgifterna inte stämma på din profilsida – vänligen kontakta vår kundtjänst.
Techtidningen premium
Läs vidare – starta din prenumeration
Redan prenumerant? Logga in och läs vidare.
Post- och telestyrelsen (PTS) är en av flera tillsynsmyndigheter med ansvar enligt lagen.
– PTS ansvarar i huvudsak för fem av de 18 sektorer som omfattas av cybersäkerhetslagen: digital infrastruktur, digitala leverantörer, förvaltning av IKT-tjänster mellan företag, post- och budtjänster samt rymden, säger Anna Söyland, jurist på på avdelningen för cybersäkerhet, PTS.
Hon betonar samtidigt att Myndigheten för civilt försvar har en samordnande roll.
– Myndigheten för civilt försvar är inte en tillsynsmyndighet. Det är många som blandar ihop det, säger hon.
Två typer av tillsyn
Hur tillsynen går till beror på vilken typ av verksamhetsutövare det handlar om. Lagen skiljer mellan viktiga och väsentliga verksamheter.
– För viktiga verksamhetsutövare är tillsynen händelsestyrd, det vill säga ex post. Något behöver ha inträffat för att tillsyn ska kunna inledas, säger Anna Söyland och fortsätter:
– För väsentliga verksamhetsutövare kan tillsynen både vara händelsestyrd och planlagd, ex ante. Det innebär att inget särskilt behöver ha hänt – tillsynen kan vara en del av en planerad tillsynsstrategi.
I praktiken innebär det att vissa verksamheter kan granskas även i ett läge där inga incidenter rapporterats.
Så går en tillsyn till i praktiken
En tillsyn inleds formellt genom ett beslut från tillsynsmyndigheten. Därefter informeras verksamhetsutövaren.
– Vanligtvis följer en begäran om information, till exempel att man ska lämna in rutiner eller dokumentation. Sedan kan det bli skriftväxling, följdfrågor och ibland uppföljande möten, säger hon.
Hur processen avslutas beror på vad tillsynen visar.
– Den kan avslutas utan åtgärd, men den kan också leda till någon form av ingripande eller sanktion.
Tidsåtgången varierar.
– En del tillsyner går snabbt, andra kan ta betydligt längre tid beroende på hur omfattande utredningen är.
Inledande fokus: vilka som omfattas
I det inledande skedet av tillämpningen finns ett tydligt fokus.
– Det första vi tittar på är att de som ska anmäla sig faktiskt anmäler sig enligt cybersäkerhetslagen, säger Anna Söyland.
Anmälan ska göras till Myndigheten för civilt försvar, inte till respektive tillsynsmyndighet.
– När anmälningsfunktionen är i gång blir en första uppgift att säkerställa att listan över verksamhetsutövare är korrekt. Det kan innebära att vi kontaktar aktörer som vi bedömer kan omfattas och behöver anmäla sig.
Ledningens ansvar i fokus
PTS har ännu inte fastställt hela sin tillsynsstrategi för nästa steg, men vissa områden pekas redan ut som centrala.
– Frågor om ledningens ansvar är ett område vi tittar på. Det finns grundläggande krav på att ledningen ska vara engagerad och genomgå utbildning, säger hon.
Även mer klassiska moment i säkerhetsarbetet kan bli aktuella.
– Grundläggande saker som riskanalyser är också sådant som kan komma att granskas framöver.
Ringar på vattnet i leverantörsledet
NIS2 påverkar inte bara de verksamheter som omfattas direkt. Kraven sprider sig vidare i leverantörskedjan.
– Tanken är att det ska bli ringar på vattnet – och det kommer det absolut bli, säger Anna Söyland.
Underleverantörer som är för små för att omfattas direkt får inga egna lagkrav, men påverkas ändå.
– De blir inte föremål för tillsyn, men verksamheter som omfattas behöver ställa krav på sina leverantörer, till exempel genom att uppdatera avtal.
Det innebär att även mindre bolag kan behöva anpassa sitt säkerhetsarbete.
– Företag som levererar till NIS2-verksamheter kommer att påverkas, även om de inte själva omfattas av lagen.
Ingen checklista – börja med riskerna
Många efterfrågar tydliga checklistor inför NIS2, men det finns en risk i att förenkla för mycket, menar hon.
– Cybersäkerhet är inte en lista med lösningar. Det handlar om att förstå den egna verksamhetens behov och risker och vidta åtgärder utifrån det.
Ett naturligt första steg är att skapa sig en grundläggande bild.
– Gör en riskanalys. Det behöver inte vara så stort och otäckt som det låter – det handlar om att titta på den egna verksamheten och vad som behöver skyddas.
Mer konkret handlar det om att veta vad man faktiskt har.
– Att lista sina tillgångar och vad som är skyddsvärt är en bra start. Det är svårt att veta vad man ska göra om man inte vet vad man har.
Hon pekar också ut klassiska områden som ofta underskattas.
– Fungerande backuper och säkerhetsuppdateringar är exempel på sådant som kan vara både enkelt och lätt att förbise, men som är grundläggande för ett fungerande cybersäkerhetsarbete.
