Inga produkter i varukorgen.
”Vänta inte med NIS2-arbetet – se det som ett tillfälle att börja med ett systematiskt säkerhetsarbete”
säkerhet Någon gång under nästa år väntas NIS2 bli svensk lag och vi måste redan nu undersöka hur vi påverkas, ta höjd för kostnaderna och öka medvetenheten i ledningen, enligt Andreas Gotthardsson på Fortinet.
I mitten av nästa år kommer NIS2-direktivet bli svensk lag, något som många företag och organisationer måste förbereda sig inför. När Telekom idag arrangerade en digital konferens om cybersäkerhet och compliance deltog Andreas Gotthardsson, director systems engineering på Fortinet, för att berättta om hur man bör och kan agera redan idag.
Någonting är fel
Du är inloggad som prenumerant hos förlaget Pauser Media, men nånting är fel. På din profilsida ser du vilka av våra produkter som du har tillgång till. Skulle uppgifterna inte stämma på din profilsida – vänligen kontakta vår kundtjänst.
Techtidningen premium
Läs vidare – starta din prenumeration
Redan prenumerant? Logga in och läs vidare.
När vi närmar oss införandet av NIS2 i svensk lagstiftning står många företag och organisationer inför en kritisk fas. Det är lätt att dra paralleller till hur vi ofta behandlar andra stora uppgifter: vi skjuter upp dem – många väntar till dess att deadline närmar sig innan de tar tag i arbetet.
– Man stoppar huvudet i sanden och hoppas att man inte ska bli överkörd av den här NIS2-lastbilen som kommer med en skrämmande fart. Det här mönstret har vi sett tidigare med GDPR och NIS, där organisationer agerade för sent, och stressade beslut togs, säger Andreas Gotthardsson
Men vad är det som gör NIS 2 så viktigt, och varför bör företag och organisationer börja förbereda sig redan nu? EU:s medlemsländer är uppkopplade i hög grad och 95 procent av alla företag är anslutna till internet. Samtidigt är det en stor skillnad mellan europeiska företag och deras amerikanska motsvarigheter när det kommer till it-säkerhetsinvesteringar.
”Attackerna mot kritisk infrastruktur ökade stort”
– EU-företagen spenderar 41 procent mindre på it-säkerhet än deras amerikanska motsvarigheter. Attackerna mot kritisk infrastruktur inom EU ökade stort mellan 2020 och 2021 och den digitala sårbarheten har aldrig varit större. Därför spelar NIS2 en avgörande roll i att förstärka säkerheten.
NIS2-direktivet kommer att innebära strängare krav och påföljder för dem som inte uppfyller de nya säkerhetsstandarderna. Den stora skillnaden mellan NIS och NIS 2 är att fler verksamhetsutövare kommer att omfattas, inklusive nya sektorer som rymdverksamhet, livsmedel, offentlig förvaltning och avfallshantering. Dessutom tillkommer nya krav på säkerhetsåtgärder, incidentrapportering och säkerhet i leveranskedjan.
– Det man lägger till i NIS 2 är bland annat digitala leverantörer, avloppshantering, avfallshantering, tillverkningsindustri, post och livsmedel, säger Andreas Gotthardsson.
Trots att NIS infördes redan 2016, har implementeringen gått långsamt. Myndigheten för samhällsskydd och beredskap, MSB, rapporterar att antalet anmälda leverantörer sjönk från 561 år 2019 till 537 år 2022. Än mer oroväckande är att rapporteringen av incidenter som påverkat samhällsviktiga tjänster varit mycket låg.
– År 2019 rapporterades det in 50 incidenter varav noll angrepp. Det är tydligt att organisationer fortfarande tvekar att rapportera incidenter, vilket innebär ett stort mörkertal.
Det är denna ineffektiva rapportering och brist på incidentdata som NIS 2 ska råda bot på. De nya kraven på incidentrapportering innebär att organisationer måste rapportera en incident inom 24 timmar efter att den inträffat, följt av en fullständig incidentrapport inom 72 timmar och en slutrapport inom en månad. Detta strängare regelverk syftar till att förbättra EU:s kollektiva kapacitet att hantera cyberhot och öka transparensen mellan medlemsstaterna.
En av de stora utmaningarna med NIS 2 kan vara de kostnader som uppstår i samband med implementeringen.
– Den uppskattade kostnaden för NIS 2-implementation för en befintlig NIS-leverantör är ungefär 12 procent ökad kostnad inom informationssäkerhetsbudgeten de kommande tre åren. Är man en ickebefintlig NIS-leverantör så säger man ungefär 22 procent. Det innebär att många organisationer kommer att behöva göra betydande investeringar för att möta de nya kraven.
Förbättrat förmågan att återhämta sig
Men även om det uppstår kostnader så finns det också en positiv sida som man inte får glömma. Enligt en undersökning där organisationer tillfrågades om hur NIS påverkar verksamheten svarade 62 procent att det hjälpt dem att upptäcka informationssäkerhetsincidenter och 21 procent att det förbättrat deras förmåga att återhämta sig efter en incident. Detta visar att även om direktiven kan kännas som en börda, har de en tydlig positiv effekt på organisationers säkerhetsnivå.
Trots att NIS2 ännu inte trätt i kraft som svensk lag, är det dags att agera nu menar Andreas Gotthardsson:
– Vi kan självklart redan nu börja undersöka huruvida vi påverkas. Det är viktigt att företag och organisationer ökar medvetenheten i ledningen om de nya kraven, planerar för de ökade kostnaderna och effektiviserar sina system för incidentrapportering. Dessutom bör man granska sina leverantörers säkerhet och se till att ha en affärskontinuitets- och krishanteringsplan på plats.
Att börja förberedelserna tidigt är inte bara en nödvändighet för att uppfylla kraven i NIS 2, utan det är också en möjlighet att förbättra den övergripande cybersäkerheten i verksamheten.
– Istället för att se NIS2 som en piska, se det här nya regelverket som ett tillfälle att börja bedriva ett systematiskt och riskbaserat säkerhetsarbete, säger Andreas Gotthardsson.
I slutändan handlar det om att skydda verksamheten mot de ökande cyberhoten och att vara proaktiv snarare än reaktiv. Och precis som med träningen är det ingen mening att vänta till nyår – det bästa tillfället att börja är nu.
Denna artikel var tidigare publicerad på tidningen telekomidag.se
