Direktivet om nät- och informationssäkerhet (NIS2) är den första EU-omfattande lagstiftningen om cybersäkerhet. För att kunna uppfylla NIS2 och dra nytta av det måste du tänka brett. Ja, cybersäkerhet handlar fortfarande om att skydda sin organisation, sina tillgångar och sitt rykte. Men det handlar också om att skydda sina partner, kunder och slutanvändare – hela leveranskedjan. Det handlar om att förändra tankesättet från reaktiv till proaktiv och från separata enheter till organisationer, system och processer som är beroende av varandra.
Det brådskar att möta ny lagstiftning om cybersäkerhet
Peter Hellström
Business Unit Leader, Advisory
April 24, 2023 at 10:28
Om mindre än två år riskerar svenska företag att köra in i väggen, när NIS2-direktivet blir lag. Anpassningen till det nya regelverket måste börja redan nu.
Det nya EU-direktivet för nätverks- och informationssäkerhet, NIS2, har just trätt i kraft. Nu har medlemsstaterna på sig till oktober 2024 att införliva direktivet i nationell lagstiftning, samtidigt som många företag inte ens är medvetna om att de berörs.
NIS2 omfattar nya krav på riskhantering och en kraftigt utökad rapportering som omfattar ett flertal samhällssektorer. Bristande efterlevnad av NIS2-direktivets krav kan medföra böter på upp till 10 miljoner Euro, eller 2 procent av företagets globala omsättning. Dessutom kan toppchefer och andra i ledande positioner bli personligt ansvariga för överträdelser.
NIS2 syftar till förbättrad, harmoniserad och stabilare internationell cybersäkerhet
Diskussionen om NIS2 har hittills präglats av sådana ”skrämselfaktorer”, men direktivet medför också många positiva konsekvenser. Det syftar till förbättrad, harmoniserad och stabilare internationell cybersäkerhet.
Vi får ett gemensamt språk för bättre ömsesidigt förtroende och för att kunna lära av goda exempel och erfarenheter. Genom ett mer samordnat och transparent arbete för cybersäkerhet kan vi tillsammans stå starkare i försvaret mot de mörka krafterna.
Regelverket ställer krav på åtgärder inom tre huvudområden: tydlig riskhantering, incidentupptäckt och incidenthantering, samt säkerhet i applikationer och infrastruktur.
Riskhantering betraktas nu enligt NIS2 som grundläggande för allt säkerhetsarbete. Kraven på incidenthantering omfattar inte bara åtgärder i samband med intrång utan även kontinuitets- och krishantering. Säkerhetskraven för applikationer och infrastruktur kan komma att påverka rutinerna för nätverkssäkerhet och systemutveckling, liksom identitets- och åtkomstkontroll.
Allt detta leder till en hel del jobb. Regelefterlevnad enligt NIS2 är inget som kan beställas idag för att sedan levereras och monteras på plats nästa vecka. Med vissa undantag bedömer vi att det tar mellan 9 och 15 månader för ett företag att genomföra anpassningen.
Det kan verka lockande att vänta tills det nya direktivet har blivit svensk lag. Men ju närmare oktober 2024 vi kommer så blir det alltmer en kamp mot klockan och en jakt på resurser för att klara detta arbete. Det råder redan brist på kompetens inom cybersäkerhet.
Vi utmanar varje vd, CIO och informationssäkerhetschef att svara på följande frågor:
- Hur kommer NIS2 att påverka oss, direkt eller indirekt?
- Är det viktigt att kunderna har förtroende för oss och vår cybersäkerhet?
- Hur kan vi vidta genomtänkta åtgärder och undvika framstressade beslut?
Tar ni dessa frågor på allvar borde slutsatsen bli att det är hög tid att agera inför NIS2. Inte senare i år eller nästa år, utan nu.
Om förberedelserna relaterade till NIS2-direktivet är aktuella i din organisation, hjälper vi dig gärna. Du kan läsa mer om våra tjänster här, och du kan kontakta oss via kontaktformuläret på vår hemsida.