2021-02-15

Berörs du av nya NIS-direktivet?

Producerar din organisation fordon, maskiner, livsmedel, mediciner, datorer, verktyg, fjärrvärme eller biogas? Sysslar ni med avfallshantering, avloppsrening eller posthantering? Är du kanske leverantör till sådana verksamheter? Då vill du läsa vidare!

Mats Karlsson Landré
Mats Karlsson Landré Säkerhetsrådgivare
NIS2

Strax före jul lade EU-kommissionen fram sitt förslag till ett uppdaterat NIS-direktiv, kallat ”NIS2”. Det ser ut att bli en rejäl utökning av de verksamheter som omfattas av direktivet!

Dagens NIS-direktiv från EU ställer krav på säkerhet i samhällsviktiga tjänster. Strax före jul lade EU-kommissionen fram sitt förslag till ett uppdaterat NIS-direktiv, kallat ”NIS2”. Min högst personliga reaktion är att innehållet är en naturlig fortsättning på det nuvarande direktivet, men samtidigt en rejäl utökning. Det är en stor mängd nya verksamheter som kommer omfattas och med tydligare möjligheter att straffa de som inte uppfyller kraven.

Nya områden i NIS2

Ett område som många med mig saknade tidigare var fjärrvärme. Det finns med nu! Ett annat är biogasproduktion från kompost eller lantbruksavfall. Sophantering, livsmedelsproduktion, avloppshantering och läkemedelstillverkning pekas också ut. Men det största, och kanske mest förvånande, tillägget är tillverkningsindustrier inom fordon, kemikalier, datorer, maskiner, verktyg mm. Ännu lite oklart för mig hur det kommer implementeras, men det är helt klart risk för att ganska många organisationer förvånat kan se sig själva plötsligt omfattas av NIS...

Tydliga fokusområden är ledningens ansvar, säkerheten hos underleverantörer och en effektiv hantering av säkerhetsincidenter. Mindre organisationer komma undan kraven men myndigheter kan ändå peka ut en liten organisation som bedöms vara samhällsviktig.

Jag är säkerhetsrådgivare inom OT, ”Operational Technology”. Det liknar IT-säkerhet men istället för att skydda information så är målet att skydda fysiska verksamheter som industriell automation, kemisk industri, kraftproduktion etc. Personligen sätter jag stort hopp till att NIS2 kan få fler organisationer att arbeta med den här typen av underskattade risker.

En större piska!

I förslaget har tillsynsmyndigheterna fått en betydligt större piska att använda på de verksamheter som inte sköter sig. Finansiellt är det i samma storleksordning som GDPR, 10 Miljoner Euro eller 2% av den totala omsättningen. Men det som är väldigt anmärkningsvärt är att man också förslås kunna ge personer i ledningen "Timeout" om de inte agerar på rätt sätt när man fått någon form av föreläggande!

Bland de saker som organisationer förväntas ha bra ordning på är:

Systematiskt riskarbete med riskanalyser och säkerhetspolicies

Rutiner för incidenthantering, både förebyggande och hanterande

Kontinuitetsplanering och krishantering, inte bara för IT och OT utan för verksamheten i stort

Säkerhet kopplat till leverantörer, upphandling, utveckling, underhåll och sårbarhetshantering

Mätning och kontroll av säkerhetsåtgärdernas effektivitet

Rutiner för rapportering av hot och sårbarheter även om de inte ledde till skada

EU får en strategi för cybersäkerhet

NIS2 ingår, tillsammans med en del andra initiativ, i ett större förslag till en samlad strategi för EU kring cybersäkerhet. Strategin pekar på tre områden som man vill fokusera arbetet på:

  1. Resiliens, teknisk suveränitet och ledarskap
  2. Operativ kapacitet för att förebygga, avskräcka och reagera
  3. En global och öppen cyberrymd genom ökat samarbete

Lite floskelartat kan jag väl tycka, men i grunden är det jättebra områden. I den perfekta världen tar alla organisationer ett eget ansvar för att skydda sin egen verksamhet och de som är beroende av den men i praktiken vet vi att det sällan händer! Här kliver EU fram rejält och pekar ut en riktning baserad på ökade krav, tydligare "straff" om man inte sköter sig och ett rejält samarbete både inom och utom unionen. Jag är positiv så här långt!

Jag ser tydligt att det nuvarande direktivet har börjat få effekt. Det är många nya organisationer som hör av sig för att få hjälp och som berättar att vissa svenska tillsynsmyndigheter börjat agera mycket tydligt. Även här måste jag säga att jag är väldigt positiv till utvecklingen, inte bara för att det ger jobb till mig, utan även för att det faktiskt får viktiga verksamheter att prioritera upp sitt säkerhetsarbete!

Vi ska komma ihåg att det är ett förslag som lagts fram. Det ska diskuteras och förhandlas nu och när man (förhoppningsvis) enats om ett skarpt förslag kommer staterna ha 18 månader på sig att hantera ett införande.

Vill du läsa mer?

I annonseringen hittar du också länkar till själva förslagstexterna. I texterna finns hänvisningar vidare till EUs definitioner av branscher, storleksordningar på organisationer och annat som används för att bygga upp direktivet. Det är komplexa dokument men väl värda att sätta sig in i om man är berörd!

Jag har tidigare skrivit om NIS2 i mitt nyhetsbrev kring OT-Säkerhet, läs gärna i utskick #21 och utskick #23 .

Kontakta gärna oss på Atea om du vill ha stöd i förberedelserna inför denna stora förändring, sakerhet@atea.se

Vem är Mats Karlsson Landré?

Jag är till vardags säkerhetsrådgivare på Atea i Västerås. Det innebär att jag stöttar våra kunder kring alla former av säkerhetsutmaningar, exempelvis informationssäkerhet, IT-säkerhet, OT-säkerhet, fysiskt skydd, säkerhetsskydd och personalsäkerhet. 

Området OT-säkerhet har ett speciellt fokus där jag också ger ut ett nyhetsbrev på www.ot-säkerhet.se där jag bland annat tagit upp nya NIS-direktivet ett par gånger. OT står för Operational Technology vilket är ett syskon till IT, Information Technology. Med IT använder man teknik för att hantera information. Inom OT använder man liknande teknik men för "Operations", alltså att få fysiska saker under kontroll. Det kan exempelvis vara att styra maskiner i en fabrik, elproduktionen i ett kraftverk eller kemiska processer i ett raffinaderi. Inom IT är fokus ofta på att skydda hemligheter men inom OT blir det oftast viktigast att hålla en funktion tillgänglig och korrekt. Det innebär att säkerhetsarbetet behöver se väldigt annorlunda ut.

Du är välkommen att kontakta mig på mats.karlsson-landre@atea.se.