Inga produkter i varukorgen.
Sidas CDO:”Därför startar vi inga NIS2-projekt”
NIS2
Två veckor efter att nya Cybersäkerhetslagen/NIS2 trätt i kraft fortgår anpassningsarbetet i svenska organisationer. För Magnus Petzäll på Sida handlar det om att hitta en balanserad, pragmatisk nivå på compliance-ambitionen.
Magnus Petzäll, CDO Sida
– Jag tror inte på att starta ett ”NIS2-projekt” . Vi gör regelbundna mätningar och analyser av brister och sårbarheter. Efter det betar vi av åtgärder i prioritetsordning, två, tre i taget.
Någonting är fel
Du är inloggad som prenumerant hos förlaget Pauser Media, men nånting är fel. På din profilsida ser du vilka av våra produkter som du har tillgång till. Skulle uppgifterna inte stämma på din profilsida – vänligen kontakta vår kundtjänst.
Techtidningen premium
Läs vidare – starta din prenumeration
Redan prenumerant? Logga in och läs vidare.
Det säger Magnus Petzäll, som är eller Assistant Director General Digital Transformation and Security, enklare uttyckt CDO, på Sveriges biståndsmyndighet Sida.
Det har gått drygt två veckor och ett Omnibus-förslag sedan Cybersäkerhetslagen trädde i kraft i Sverige den 15 januari. I skrivande stund återstår ändå vissa viktiga pusselbitar och än har inte anmälan öppnat.
NIS2-anpassningen pågår parallellt
I verkligheten på svenska företag och myndigheter, som Sida, pågår anpassningen parallellt med det dagliga arbetet. Det gäller att hålla koll på deadlines och möta kraven, utan att det hela går över styr.
– Vi jobbar under rubriken ”systematiskt säkerhetsarbete” mot att bli compliant på en rimlig nivå, säger Magnus Petzäll.
Hur har ni hittills förberett organisationen på NIS2?
– Vi har gått ut med övergripande information brett inom myndigheten och bereder aktiviteterna för att möta kraven i direktivet i en mindre grupp, bestående av chefscontroller och säkerhetsansvariga i olika roller.
– Hittills har vi använt MCF:s verktyg Cybersäkerhetskollen, som är en självskattningsmodell, som mätmetod. Vi har inte kommit igång med en extern granskare än som komplettering, men ett alternativ framåt skulle kunna vara Veriscan, som vi använde i min tidigare roll som CIO på HAV, Hav och Vatten-myndigheten.
Vad har varit mest utmanande hittills?
– Att fastställa påverkan och bestämma ambitionsnivå, så att det blir genomförbart i relation till våra resurser. Och att säkerställa att åtgärderna också integeras i organisationens löpande arbete.
Har NIS2 påverkat era krav på leverantörer och IT-partners?
– Till viss del ja. Vi håller till exempel på att upphandla nya avtal för myndighetens drift och support. I de kraven tar vi hänsyn till hur NIS2 ser på kontroll och uppföljning i leverantörskedjan.
Kort efter att NIS2 trädde i kraft kom ett Omnibus-förslag på vissa förändringar. Påverkar det ert arbete om förslagen går igenom?
– Vi har inte hunnit göra en full konsekvensanalys av detta ännu. Men det står väl klart att det kommer att förenkla och minska bördan att uppfylla lagen.
Har du några lärdomar eller tips att dela med dig av?
– Jag upprepar: Starta inga NIS2-projekt! Jobba istället med det systematiska säkerhetsarbetet. Genomför löpande utvärderingar och analyser av verksamheten, vilka brister och sårbarheter ni har, prioritera de viktigaste att åtgärda. Till slut blir organisationen compliant genom ett pragmatiskt förhållningssätt.
