Krönika: Cybersäkerhetslagen är snart här – men inga skäl till panik

Ändå kan jag konstatera att det fortfarande är många som inte har koll på de mest grundläggande kraven: heltäckande kontinuerlig övervakning av sin IT-miljö, med översikt över alla system, nätverkstrafik och data.

Det händer ofta att cyberattacker bara upptäcks av en slump eller när konsekvenserna blir tydliga. Till exempel upplevde jag nyligen ett företag som insåg att de hade blivit hackade först när det inte gick att beställa lunch. Intrånget hade pågått länge utan att utlösa något larm – förrän restaurangsystemet slutade fungera.

Att det fungerade som företagets ”inbrottslarm” säger allt om bristen på säkerhetsövervakning. Utan en fullständig översikt arbetar ni i praktiken i blindo. Och om ni inte vet vad som händer i IT-miljön, hur ska ni då uppfylla NIS2-kravet att allvarliga incidenter ska rapporteras inom 24 timmar?

NIS2: löpande process snarare än ett slutmål

En vanlig missuppfattning är att se NIS2-anpassning som ett projekt med ett fast slutdatum. På samma sätt som det var 2018, då deadline för införandet av GDPR blev en mållinje som skulle passeras – sedan var man ”klar”.

Men säkerhetsarbete är en resa utan slutmål. Hotlandskapet skiftar hela tiden och NIS2 handlar därför om att arbeta med säkerhet genom ständiga förbättringar: implementera, utvärdera, anpassa – om och om igen.

När GDPR infördes såg vi tendenser till panik och överimplementering i Norden. Rädslan för böter drev på utgifterna för konsulter och skapade krångliga rutiner. Många sköt mygg med kanoner i sin iver att göra allt till 110 procent korrekt. Resultatet? Pärmar fulla av policyer, men inte nödvändigtvis bättre säkerhet i praktiken. Samt givetvis onödiga merkostnader.

Vi bör lära oss av den läxan nu, så att NIS2 inte blir ett nytt panikprojekt. Fokus måste ligga på vad som faktiskt minskar risken: grundläggande säkerhetsåtgärder som nätverksövervakning, beredskapsplaner, åtkomstkontroll och utbildning av anställda. Enbart dokumentation och papper kommer inte att stoppa några intrång (även om loggning är en del av NIS2): Medan ett välövat försvar med kontinuerlig övervakning absolut kommer att göra det.

Från panik till plan

Den goda nyheten är att allt inte behöver vara klart till deadline för införandet av NIS2. Det är nämligen inte en destination man anländer till, utan en kontinuerlig process där resultatet är förbättrad motståndskraft mot hot. Om man tar sig an den uppgiften med lugn och förnuft kan resan mot NIS2-anpassning bli ett sätt att stärka verksamheten och skydda både dess data och resultat.

Så var börjar man? Här är tre viktiga steg:

• Kartlägg era system, data och kritiska tjänster: Det går inte att skydda det ni inte kan överblicka.

• Upprätta säkerhetsövervakning dygnet runt: Oavsett om det sker internt eller via en partner måste misstänkta händelser upptäckas och åtgärdas omedelbart.

• Utveckla och öva på en beredskapsplan: När (och inte om) en attack inträffar ska era roller, ansvarsområden och rutiner vara klara och testade i förväg.

Tänk på NIS2 och cybersäkerhetslagen som en möjlighet att förbättra ert säkerhetsarbete generellt. Svenska företag bör använda den som en hävstång för att långsiktigt uppnå en högre säkerhetsnivå, oavsett vad lagtexten anger. Se det inte som en lista med krav som ska bockas av. Den rätta frågan att ställa är inte ”När kommer vi att nå målet med NIS2?”, utan ”Hur upprätthåller vi en hög säkerhetsnivå år efter år?”

Petter Glenstrup är Nordenchef på Arctic Wolf.