Vattenfall om NIS2: ”Lagstiftningspusslet riskerar att ta fokus från det faktiska säkerhetsarbetet”

Det säger Kristina Blomqvist, som är Acting CISO på Vattenfall och i sin roll utformar det koncerngemensamma NIS2-arbetet.

– NIS2 omfattar fler av våra verksamheter än NIS1 och kravställningen är betydligt mer omfattande och detaljerad, konstaterar hon.

Cyber- och it-hoten mot flera sektorer har ökat kraftigt de senaste åren. För energibranschen, som är en bärande del av samhällsinfrastrukturen, blir det extra påtagligt. Att NIS2 växlar upp kraven på allt från incidentrapportering till utrustning, leverantörskedjor och tillsyn av kritiska enheter är i grunden positivt – men också utmanande, tycker Kristina Blomqvist.

– Det är bra att samhället tydliggör förväntningarna på vad som är samhällsviktigt. Men kvaliteten i kravställningen är avgörande och regelverken måste vara utformade och tillämpas på ett sådant sätt så att resurserna verkligen går till de mest säkerhetshöjande åtgärderna.

Kartlägger NIS2-tolkningar i olika länder

En särskild utmaning är att lagstiftarna i olika länder implementerar NIS2 på olika sätt. Trots att det finns en ambition om harmonisering kan det i praktiken vara mycket som skiljer sig åt.

För koncernsäkerhetsfunktionen har en stor del av NIS2-arbetet därför hittills handlat om samordning av de olika marknaderna och länderna. 

Att nå ut till alla affärsområden med information om lagstiftningen – och de förändringar den medför – är steg ett. Men eftersom det kan vara olika från fall till fall har det varit viktigt att noga följa och sätta sig in i den regulatoriska utvecklingen på varje marknad, förklarar Kristina.

Samtidigt har Vattenfall påbörjat arbetet med att anpassa sitt övergripande säkerhetsledningssystem och de interna processerna, exempelvis för incidentrapportering. Allt för att göra det så enkelt som möjligt för verksamheterna att ligga i linje med NIS2.

– Och det arbetar vi fortfarande med eftersom lagstiftningen inte är helt färdigställd än i flera länder.

Vad har varit mest utmanande hittills?

– Tyvärr har vi behövt lägga extremt mycket fokus på att hantera komplexiteten i själva lagstiftningspusslet. Ibland verkar det som att lagstiftarna för olika områden lägger helt olika pussel. Sedan blir det upp till oss som bolag att försöka lösa knutarna som det offentliga inte rår på!

– Vi ser att det finns en vilja att lösa saker från både nationell och överstatlig nivå, men det återspeglas än så länge väldigt lite i vad vi konkret har att hantera.

Är det något som har varit extra besvärligt?

– Extra utmanande är att de nationella lagstiftningarna i olika länder har så olika syn på hur direktivet ska implementeras, och att fokus ligger på ”legal entitet” och den ”legala entitetens” skyldigheter”. Det kan möjligen fungera för mellanstora bolag, men det ligger inte alls i linje med hur vi styr våra verksamheter.

– Vi förstår att det är ett sätt att tydligt hantera exempelvis registrering, men för tekniska kravställningar blir det ohållbart.

– Vi ser också en tendens att det riskbaserade perspektivet ibland går förlorat i de nationella implementationerna, vilket är olyckligt.

– Så tyvärr går mycket tid åt till att hantera denna komplexitet och den omfattande extra administration det innebär, till exempel för att utforma styrningen, istället för till de konkreta säkerhetsfrågorna. 

Kan du ge något exempel på hur ni förbereder organisationen?

– En väldigt konkret insats är att vi har genomfört utbildningar för styrelsen och våra ledningsgrupper. Där var vi relativt tidigt ute. Trots att kravställningen på utbildning inte var helt färdig i flera länder, såg vi tydliga fördelar med att tidigt skapa förståelse på ledningsnivå.

–  Ett annan konkret åtgärd har varit att leda och stötta arbetet med att kartlägga verksamheter, för att de ska kunna genomföra korrekt registrering. Eftersom direktivet fokuserar på legala entiteter, som implementeras på olika sätt i olika länder, är det ett mycket omfattande arbete.

Har NIS2 påverkat era krav på leverantörer och it-partners?

–  Ja och nej. Vi jobbar sedan tidigare med att utveckla en mer effektiv kravställning och uppföljning av leverantörer, och NIS2 belyser det behovet ytterligare. Numera finns en stor medvetenhet i hela branschen om vikten av säkra leveranskedjor, men det är en utmanande fråga, där det är helt nödvändigt med ett väl utvecklat riskbaserat arbetssätt.

Har du några lärdomar eller tips till andra CISO:s?

– För att inte bli ”lagstiftningarnas fånge” är det viktigt att ha ett eget, välutvecklat säkerhetsarbete i grunden, som är anpassat till den egna verksamheten.

–På Vattenfall har vi exempelvis utvecklat ett eget säkerhetsledningssystem med tydliga processer och forum. Det hjälper oss att hålla fokus på det som faktiskt höjer säkerheten. Då blir NIS2 ett perspektiv som går att inlemma i det arbete vi redan gör, snarare än något som driver ett parallellt spår.

– Sedan är det självklart viktigt att tydligt identifiera vilka verksamhetsprocesser som är registreringspliktiga. Det förenklar senare arbete. Det gäller också att ta höjd för att NIS2 inte bara påverkar it- och ot-säkerhetsarbetet utan också områden som incidenthantering och upphandlingsprocesser.