Äntligen är NIS2 här!

"Utvidgandet av antalet sektorer innebär att hela regleringen blir avsevärt större och omfattar fler aktörer som ska leva upp till en högre kravställning för att undvika större sanktioner." 

Så sammanfattar MSB träffsäkert – och tungt – NIS2-direktivet som beslutades på EU-nivå i december 2022. För nog är det så det kan kännas när man tar sig igenom direktivet och vad det innebär med fler och mer specificerade krav på säkerhetsåtgärder verksamheter måste vidta, under hot om höga sanktionsavgifter och än fler tillsynsmyndigheter som flåsar en i nacken. Och så kan VD:n skickas ner i källaren för att sortera gem om verksamheten inte uppfyller kraven som NIS2 ställer. Här kan den inledande frågan "träffas vi av NIS2?" (med en förhoppning om att svaret ska vara nej) lätt ta över.

Det är emellertid ingenting nytt under solen. Det är kanske till och med så att en och annan informationssäkerhetsexpert där ute tänker ett ”det är ju det här jag försökt få till hela tiden!”. Lyfter man blicken från detaljerade krav i NIS2 om bland annat kryptering, multifaktorautentisering och säkerhetskopiering och ser till helheten, så är det ett systematiskt och riskbaserad informationssäkerhetsarbete det handlar om. Och det är vikten av just det vi informationssäkerhetsivrare gör vårt bästa för att förmedla ut i olika typer av verksamheter.

Frågan är inte om du blir attackerad, utan när

Det blir tydligare och tydligare att frågan inte längre är om, utan när din verksamhet blir attackerad. Den som följer rapporteringen i media möter en verklighet med en för nästan varje dag utökad hotbild och ökad attackfrekvens. Början på 2024 var inget undantag, med en it-attack som fick stor spridning och mycket stor påverkan på privat såväl som offentlig verksamhet. Attacken i januari 2024 riktar dessutom ännu en gång ljuset mot vikten av en av de punkter som lyfts särskilt i NIS2-direktivet – säkerhet i leveranskedjan!

Vilka värden står på spel i din verksamhet?

Verkligheten med en ökad hotbild och hög attackaktivitet innebär att olika typer av värden står på galgbacken. Din verksamhet riskerar till att börja med att drabbas av avbrott av olika omfattning, styrka och längd som kan få stora ekonomiska konsekvenser. Den här verkligheten når emellertid även kunder, konsumenter och andra intressenter. Så utöver att bristande säkerhetsarbete kan leda till incidenter som ger störningar i verksamheten i olika utsträckning, finns även andra värden såsom förtroende men också externa förväntningar som kan ha stor påverkan på din verksamhet. Kan du rak i ryggen säga att du ha koll på vilka värden som står på spel i er verksamhet, att du har koll på era intressenter och deras förväntningar på er säkerhet?

NIS2 - tydligt riskbaserat angreppssätt

Bristande säkerhetsarbete kan helt enkelt få konsekvenser som är för stora att försummas! Det där med informations- och it-säkerhet är idag en kritisk komponent i en verksamhet. Arbetet med informationssäkerhet ska på samma sätt som annan riskhantering sträva efter att identifiera och hantera de risker man utsätts för och syftar ytterst – som annan riskhantering – till att stötta verksamheten att nå sina mål. NIS2 tar ett tydligt riskbaserat angreppssätt, som dessutom baseras på en så kallad allriskansats, för att skydda nätverks- och informationssystem.

Fokusera inte bara på tekniska säkerhetslösningar

"NIS2 isn’t a backroom IT issue – it calls for company-wide transformation!"

Det är väldigt sällan en enskild faktor ligger bakom en säkerhetsincident. Orsaken är nästan alltid en kombination av mänskliga faktorer, organisatoriska problem och tekniska brister. Därför är det viktigt att inte bara fokusera på de tekniska säkerhetslösningarna. Genom ett synsätt på säkerhet som betonar samspelet mellan människa, process och teknik skapas en helhetsbild som tillsammans med en förståelse för verksamheten, dess förutsättningar och behov ger säkerhetsarbetet en tydlig förankring i hela organisationen. Härigenom skapas förutsättningar för att it- och informationssäkerhet anpassas och utformas på det sätt som krävs för att fungera ändamålsenligt och stötta verksamheten att nå sina mål.

Även detta förhållningssätt framträder i NIS2, som ställer krav på organisatoriska, driftmässiga såväl som tekniska åtgärder. Att arbeta med kraven som NIS2 innehåller, underlättar alltså för verksamheten att nå sina mål.

NIS2 - en möjliggörare

Det leder mig till uppmaningen och utmaningen att i stället för att se NIS2 som ett hot om sanktionsavgifter som riskerar att svida hårt i kassan, se på NIS2 som en möjliggörare och en hjälp i ert säkerhetsarbete! Det finns ett värde att hämta här. Man kan till och med säga att det finns någonting vackert i att följa lagen! Och, med ovanstående i beaktande, även om du inte träffas av NIS2-direktivet, har du råd att lägga det åt sidan?

Ur ett juridiskt perspektiv kan du absolut låta bli, men finns det kanske anledning att göra något ändå? Jag säger – absolut! Ta rygg på NIS2 i stället för att ducka! NIS2 är ett stöd – för den som träffas är det ett tvingande stöd – i att upprätta och förvalta ett systematiskt och riskbaserat informationssäkerhetsarbete, ett arbete som hjälper er att uppnå era verksamhetsmål. Och för att tala klarspråk, någonting som egentligen redan borde vara, om inte på plats, så åtminstone på agendan.