Berörs du av nya NIS-direktivet?
Producerar din organisation fordon, maskiner, livsmedel, mediciner, datorer, verktyg, fjärrvärme eller biogas? Sysslar ni med avfallshantering, avloppsrening eller posthantering? Är du kanske leverantör till sådana verksamheter? Då vill du läsa vidare!
Strax före jul lade EU-kommissionen fram sitt förslag till ett uppdaterat NIS-direktiv, kallat ”NIS2”. Det ser ut att bli en rejäl utökning av de verksamheter som omfattas av direktivet!
Dagens NIS-direktiv från EU ställer krav på säkerhet i samhällsviktiga tjänster. Strax före jul lade EU-kommissionen fram sitt förslag till ett uppdaterat NIS-direktiv, kallat ”NIS2”. Min högst personliga reaktion är att innehållet är en naturlig fortsättning på det nuvarande direktivet, men samtidigt en rejäl utökning. Det är en stor mängd nya verksamheter som kommer omfattas och med tydligare möjligheter att straffa de som inte uppfyller kraven.
Nya områden i NIS2
Ett område som många med mig saknade tidigare var fjärrvärme. Det finns med nu! Ett annat är biogasproduktion från kompost eller lantbruksavfall. Sophantering, livsmedelsproduktion, avloppshantering och läkemedelstillverkning pekas också ut. Men det största, och kanske mest förvånande, tillägget är tillverkningsindustrier inom fordon, kemikalier, datorer, maskiner, verktyg mm. Ännu lite oklart för mig hur det kommer implementeras, men det är helt klart risk för att ganska många organisationer förvånat kan se sig själva plötsligt omfattas av NIS...
Tydliga fokusområden är ledningens ansvar, säkerheten hos underleverantörer och en effektiv hantering av säkerhetsincidenter. Mindre organisationer komma undan kraven men myndigheter kan ändå peka ut en liten organisation som bedöms vara samhällsviktig.
Jag är säkerhetsrådgivare inom OT, ”Operational Technology”. Det liknar IT-säkerhet men istället för att skydda information så är målet att skydda fysiska verksamheter som industriell automation, kemisk industri, kraftproduktion etc. Personligen sätter jag stort hopp till att NIS2 kan få fler organisationer att arbeta med den här typen av underskattade risker.
En större piska!
I förslaget har tillsynsmyndigheterna fått en betydligt större piska att använda på de verksamheter som inte sköter sig. Finansiellt är det i samma storleksordning som GDPR, 10 Miljoner Euro eller 2% av den totala omsättningen. Men det som är väldigt anmärkningsvärt är att man också förslås kunna ge personer i ledningen "Timeout" om de inte agerar på rätt sätt när man fått någon form av föreläggande!
Bland de saker som organisationer förväntas ha bra ordning på är:
Systematiskt riskarbete med riskanalyser och säkerhetspolicies
Rutiner för incidenthantering, både förebyggande och hanterande
Kontinuitetsplanering och krishantering, inte bara för IT och OT utan för verksamheten i stort
Säkerhet kopplat till leverantörer, upphandling, utveckling, underhåll och sårbarhetshantering
Mätning och kontroll av säkerhetsåtgärdernas effektivitet
Rutiner för rapportering av hot och sårbarheter även om de inte ledde till skada
EU får en strategi för cybersäkerhet
NIS2 ingår, tillsammans med en del andra initiativ, i ett större förslag till en samlad strategi för EU kring cybersäkerhet. Strategin pekar på tre områden som man vill fokusera arbetet på:
- Resiliens, teknisk suveränitet och ledarskap
- Operativ kapacitet för att förebygga, avskräcka och reagera
- En global och öppen cyberrymd genom ökat samarbete
Lite floskelartat kan jag väl tycka, men i grunden är det jättebra områden. I den perfekta världen tar alla organisationer ett eget ansvar för att skydda sin egen verksamhet och de som är beroende av den men i praktiken vet vi att det sällan händer! Här kliver EU fram rejält och pekar ut en riktning baserad på ökade krav, tydligare "straff" om man inte sköter sig och ett rejält samarbete både inom och utom unionen. Jag är positiv så här långt!
Jag ser tydligt att det nuvarande direktivet har börjat få effekt. Det är många nya organisationer som hör av sig för att få hjälp och som berättar att vissa svenska tillsynsmyndigheter börjat agera mycket tydligt. Även här måste jag säga att jag är väldigt positiv till utvecklingen, inte bara för att det ger jobb till mig, utan även för att det faktiskt får viktiga verksamheter att prioritera upp sitt säkerhetsarbete!
Vi ska komma ihåg att det är ett förslag som lagts fram. Det ska diskuteras och förhandlas nu och när man (förhoppningsvis) enats om ett skarpt förslag kommer staterna ha 18 månader på sig att hantera ett införande.
Kontakta gärna oss på Atea om du vill ha stöd i förberedelserna inför denna stora förändring, sakerhet@atea.se
