Inga produkter i varukorgen.
”Så kan företag möta NIS2 och undvika kostsamma böter”
krönika Vid årsskiftet skärps lagkraven för informationssäkerhet betydligt när EU-direktivet NIS2 införs. Konsekvenserna av att inte leva upp till kraven kan bli kostsamma. Den positiva sidan av detta är att direktivet kommer att leda till säkrare företag och en starkare offentlig förvaltning, skriver Thomas Aardal, CTO på Nagarro, i en krönika.
EU-direktivet NIS2 för nätverks- och informationssäkerhet träder i kraft den 1 januari nästa år och innebär en betydande skärpning av kraven jämfört med dess föregångare. Det nya direktivet, som ska införas i svensk lagstiftning, kommer att påverka runt 30 000 företag och organisationer i Sverige, vilket är en avsevärd ökning från de cirka 3 000 som berördes av NIS1.
NIS2 omfattar ett betydligt större antal sektorer än NIS1. Nya verksamhetsområden omfattar exempelvis avloppsvatten- och avfallshantering, flyg- och rymdteknik, post- och kurirtjänster samt hela livsmedelskedjan. I vissa fall spelar företagets storlek en roll för om det omfattas av NIS2, och direktivet gäller även för verksamheter utanför EU som levererar tjänster till medlemsländer.
En annan viktig förändring är de skärpta kraven på organisationsledningen. Chefer blir direkt ansvariga för att upptäcka och förebygga säkerhetsincidenter, och varje organisation måste genomföra riskbedömningar och upprätta en it-säkerhetspolicy. Dessutom måste säkerheten för nätverk och informationssystem garanteras, vilket är en komplex uppgift att definiera och genomföra.
NIS2 påminner även om GDPR, då böter kan utdömas för bristande efterlevnad. Det talas om att företag riskerar böter på upp till två procent av sin omsättning, eller upp till tio miljoner euro, om de inte följer direktivets krav. Det ser med andra ord ut att bli billigare att investera i informationssäkerhet än att betala eventuella NIS2-böter.
En annan skärpning är rapporteringen av säkerhetsincidenter, som nu ska ske inom 24 timmar istället för 72 timmar som tidigare.
Potential att skapa mer effektiva säkerhetssystem
Även om NIS2 ställer höga krav på företag och organisationer, erbjuder det också en möjlighet att förbättra och förenkla arbetet med informationssäkerhet. I takt med att fler företag implementerar ai, automatisering och andra digitala lösningar, finns det potential att skapa mer effektiva och hållbara säkerhetssystem.
Moderna tekniklösningar som ai och dataanalys är nödvändiga för att hantera det dagliga arbetet med övervakning, incidentrapportering och riskbedömningar. Dessa verktyg kan också bidra till att ta fram underlag för säkerhetspolicyer och stödja utvecklingen av de processer som krävs för att efterleva NIS2.
Det är avgörande att säkerhetsarbetet inte ses som en eftertanke. Säkerhet måste integreras från början när nya digitala lösningar implementeras. Detta gäller särskilt vid införandet av ai och automatisering, där säkerheten bör vara en central del av strategin.
Enhetliga teknikplattformar för digitalisering, ai och dataanalys, i samverkan med moderna arbetssätt, underlättar inte bara informationssäkerhet utan också efterlevnad av NIS2. Företag och organisationer som ännu inte påbörjat arbetet med att anpassa sig till de nya kraven bör agera omgående. Extern expertis kan vara till stor hjälp för att säkerställa en smidig övergång och att alla krav uppfylls.
Att följa NIS2 handlar inte bara om att undvika böter – det är en investering i långsiktig säkerhet och stabilitet för hela verksamheten.
Thomas Aardal är CTO på Nagarro
Denna artikel var tidigare publicerad på tidningen telekomidag.se
