NIS2 – inte bara för samhälls-viktiga funktioner

För att skydda samhället mot alltmer frekventa cyberattacker träder EU:s direktiv NIS2 i kraft under 2024, med åtgärder för en hög gemensam cybersäkerhetsnivå. Direktivet gäller främst leverantörer av samhällsviktiga tjänster, men vad många inte har insett är att det indirekt även omfattar deras underleverantörer.

Cyberhoten blir alltmer sofistikerade och ökar dessutom i omfattning, och bara fyra av tio verksamheter har en adekvat cybersäkerhetsnivå idag. Det framgår av rapporten ”Från hot till handlingsplan – Radar Security 2023” från undersökningsföretaget Radar. Vem minns exempelvis inte ransomwareattacken mot Coop?

Politiska instanser gör vad de kan för att öka samhällets motståndskraft mot cyberhot. EU Cyber Resilience Act är ett exempel, ett annat nära anstående exempel är det så kallade NIS2-direktivet som träder i kraft i oktober 2024.

Tredjepartsleverantörers säkerhetsarbete under lupp

Direktivet NIS2 gäller främst leverantörer av samhällskritiska tjänster som banker, energibolag, hälso- och sjukvårdsverksamheter och transportföretag, likt NIS1, men det uppmuntrar och uppmanar även verksamheter som inte omfattas av direktivet att uppfylla minimikraven för att uppnå en tillräcklig cybersäkerhetsnivå. Och framför allt ökar kraven på kontroller av tredjepartsleverantörer.

Lovisa Göransson Ording är cybersäkerhetskonsult på HiQ med expertkunskap inom governance, risk management och compliance.

– Att direktivet utökas till att se till hela kedjan är egentligen ganska självklart. Om din verksamhet ska ha en tillräckligt hög cybersäkerhetsnivå, måste den ju också upprätthållas av underleverantörer. Säkerhetsfaktorn får alltså en rejält större roll i inköpsprocessen, säger Lovisa Göransson Ording.

NIS2 avgörande för att vara en relevant leverantör

I och med kontroller av tredjepartsleverantörer omfattas så många som 20 000 svenska verksamheter direkt eller indirekt, jämfört med cirka 500 idag.

– Att uppfylla kraven enligt NIS2 kan bli nödvändigt för att vara en relevant underleverantör till en verksamhet som omfattas av direktivet. Är du exempelvis beställare av utvecklingstjänster för finans- eller energisektorn måste du säkerställa att utvecklarna och deras leverans uppfyller de säkerhetskrav som gäller för den beställande organisationen, säger Lovisa Göransson Ording.

”Att uppfylla kraven enligt NIS2 kan bli nödvändigt för att vara en relevant underleverantör till en verksamhet som omfattas av direktivet. Är du exempelvis beställare av utvecklingstjänster för finans- eller energisektorn måste du säkerställa att utvecklarna och deras leverans uppfyller de säkerhetskrav som gäller för den beställande organisationen.”

Lovisa Göransson Ording

Vad krävs av de organisationer som direkt eller indirekt påverkas?

Hälften av verksamheterna i Radars rapport tror inte att de hinner bli klara med att uppfylla kraven i tid till direktivet träder i kraft. Det finns alltså ett stort arbete att utföra för svenska företag och organisationer.

– Omfattas din verksamhet av NIS2 ska ni självklart uppfylla kraven för NIS2. Är du en underleverantör som vill vara relevant för kunder som omfattas av NIS2 finns det flera vägar att gå. Ett sätt är att certifiera sig för exempelvis ISO 27000. Det är en av världens mest ansedda standarder inom området och en certifiering visar att hela organisationen arbetar aktivt och kontinuerligt med cybersäkerhet, säger hon.

Cybersäkerhetsarbetet är ingen one-shot

Eftersom säkerhetshoten hela tiden ändrar karaktär, måste följaktligen arbetet med att möta hoten pågå kontinuerligt.

Genom att exempelvis genomföra kontinuerliga penetrationstester identifierar du löpande verksamhetens digitala svagheter och du kan gå vidare och analysera sättet på vilket organisationen arbetar.

– En teknisk brist kan vara enklare att identifiera än brister i organisationen, men den tekniska bristen beror ju på någonting. Det kan istället vara en organisatorisk fråga som kräver ett större omfång. De organisationer som arbetar konsekvent med ett öppet sinne med den här typen av tester har betydligt lättare att möta regulatoriska krav, och kontinuerligt arbeta med att säkra sin verksamhet, avslutar hon.

”En teknisk brist kan vara enklare att identifiera än brister i organisationen, men den tekniska bristen beror ju på någonting. Det kan istället vara en organisatorisk fråga som kräver ett större omfång. De organisationer som arbetar konsekvent med ett öppet sinne med den här typen av tester har betydligt lättare att möta regulatoriska krav, och kontinuerligt arbeta med att säkra sin verksamhet.”

Lovisa Göransson Ording

Tips: Så tar du dig an NIS2

Lovisa Göransson Ording om vad företag kan göra redan nu:

1. Informera dig: Läs på om NIS2-direktivet och dess krav för att ta reda på om din verksamhet klassificeras som väsentlig eller som viktig entitet, utifrån er betydelse för den sektor ni verkar inom eller den tjänst ni tillhandahåller, liksom utifrån er storlek.

2. Analysera nuläge: Genomför en analys över din organisations nuvarande cybersäkerhet.
Undersök vilka delar ni idag har på plats som omfattas av NIS2 och vilka delar där ett större arbete kan behövas.

3. Identifiera och bedöm kritiska tjänster: Bedöm och identifiera kritiska tjänster och system i din organisation. Se till att dessa tjänster och system är motståndskraftiga och har de nödvändiga cybersäkerhetsåtgärderna på plats som NIS2 definierar.

4. Utvärdera dina leverantörer och kunder: NIS2 fokuserar på en hög gemensam nivå av cybersäkerhet. Det är viktigt att säkerställa att hela leveranskedjan tar cybersäkerhet på allvar. Som organisation har du flera beroenden med påverkan på och av cybersäkerhetsarbetet. Dessa beroenden kan vara leverantörer, kunder och till och med deras leverantörer och kunder.

Läs mer om hur vi kan hjälpa dig