NIS2 gäller även underleverantörer.

– Inte bara samhällsviktiga funktioner

För att skydda samhället mot cyberattacker börjar EU:s direktiv NIS2 gälla i år, med åtgärder för en hög gemensam cybersäkerhetsnivå. Direktivet gäller kanske främst leverantörer av samhällsviktiga tjänster, men vad många inte har koll på är att direktivet även indirekt omfattar underleverantörer.

Cyberhoten blir alltmer sofistikerade och ökar dessutom i omfattning, och bara fyra av tio verksamheter har en adekvat cybersäkerhetsnivå idag. Det framgår av rapporten ”Från hot till handlingsplan – Radar Security 2023” från undersökningsföretaget Radar. Vem minns exempelvis inte ransomwareattacken mot Coop?

Politiska instanser gör vad de kan för att öka samhällets motståndskraft mot cyberhot. EU Cyber Resilience Act är ett exempel, ett annat nära anstående exempel är det så kallade NIS2-direktivet som träder i kraft i oktober 2024.

Tredjeparts-leverantörers säkerhetsarbete under lupp

Direktivet NIS2 gäller främst leverantörer av samhällskritiska tjänster som banker, energibolag, hälso- och sjukvårdsverksamheter och transportföretag, likt NIS1, men det uppmuntrar och uppmanar även verksamheter som inte omfattas av direktivet att uppfylla minimikraven för att uppnå en tillräcklig cybersäkerhetsnivå. Och framför allt ökar kraven på kontroller av tredjepartsleverantörer.

Lovisa Göransson Ording är cybersäkerhetskonsult på HiQ med expertkunskap inom governance, risk management och compliance.

– Att direktivet utökas till att se till hela kedjan är egentligen ganska självklart. Om din verksamhet ska ha en tillräckligt hög cybersäkerhetsnivå, måste den ju också upprätthållas av underleverantörer. Säkerhetsfaktorn får alltså en rejält större roll i inköpsprocessen, säger Lovisa Göransson Ording.

NIS2 avgörande för att vara en relevant leverantör

I och med kontroller av tredjepartsleverantörer omfattas så många som 20 000 svenska verksamheter direkt eller indirekt, jämfört med cirka 500 idag.

Att uppfylla kraven enligt NIS2 kan bli nödvändigt för att vara en relevant underleverantör till en verksamhet som omfattas av direktivet. Är du exempelvis beställare av utvecklingstjänster för finans- eller energisektorn måste du säkerställa att utvecklarna och deras leverans uppfyller de säkerhetskrav som gäller för den beställande organisationen

Lovisa Göransson Ording

Vad krävs av de organisationer som direkt eller indirekt påverkas?

Hälften av verksamheterna i Radars rapport tror inte att de hinner bli klara med att uppfylla kraven i tid till direktivet träder i kraft. Det finns alltså ett stort arbete att utföra för svenska företag och organisationer.

– Omfattas din verksamhet av NIS2 ska ni självklart uppfylla kraven för NIS2. Är du en underleverantör som vill vara relevant för kunder som omfattas av NIS2 finns det flera vägar att gå. Ett sätt är att certifiera sig för exempelvis ISO 27000. Det är en av världens mest ansedda standarder inom området och en certifiering visar att hela organisationen arbetar aktivt och kontinuerligt med cybersäkerhet, säger hon.

Cybersäkerhetsarbetet är ingen one-shot

Eftersom säkerhetshoten hela tiden ändrar karaktär, måste följaktligen arbetet med att möta hoten pågå kontinuerligt.

Genom att exempelvis genomföra kontinuerliga penetrationstester identifierar du löpande verksamhetens digitala svagheter och du kan gå vidare och analysera sättet på vilket organisationen arbetar.

En teknisk brist kan vara enklare att identifiera än brister i organisationen, men den tekniska bristen beror ju på någonting. Det kan istället vara en organisatorisk fråga som kräver ett större omfång. De organisationer som arbetar konsekvent med ett öppet sinne med den här typen av tester har betydligt lättare att möta regulatoriska krav, och kontinuerligt arbeta med att säkra sin verksamhet

Så tar du dig an NIS2

Lovisa Göransson Ording om vad företag kan göra redan nu:

1. Informera dig

Läs på om NIS2-direktivet och dess krav för att ta reda på om din verksamhet klassificeras som väsentlig eller som viktig entitet, utifrån er betydelse för den sektor ni verkar inom eller den tjänst ni tillhandahåller, liksom utifrån er storlek.

2. Analysera nuläget

Genomför en analys över din organisations nuvarande cybersäkerhet.
Undersök vilka delar ni idag har på plats som omfattas av NIS2 och vilka delar där ett större arbete kan behövas.

3. Identifiera och bedöm kritiska tjänster

Bedöm och identifiera kritiska tjänster och system i din organisation. Se till att dessa tjänster och system är motståndskraftiga och har de nödvändiga cybersäkerhetsåtgärderna på plats som NIS2 definierar.

4. Utvärdera dina leverantörer och kunder

NIS2 fokuserar på en hög gemensam nivå av cybersäkerhet. Det är viktigt att säkerställa att hela leveranskedjan tar cybersäkerhet på allvar. Som organisation har du flera beroenden med påverkan på och av cybersäkerhetsarbetet. Dessa beroenden kan vara leverantörer, kunder och till och med deras leverantörer och kunder.

Välj närmsta region Stockholm Västerås Lund Borlänge Norrköping Helsingborg Karlskrona Örebro Göteborg Malmö Linköping Eskilstuna

Kontakta oss!

Kontakta oss!

Välj kontor eller kontakta HiQ International i Stockholm om du är tveksam.

Kontakt

Region Stockholm

Kontakt

Region Stockholm

Mia Pääsuke

Marcom Lead Stockholm

Hej, Mia här – Marcom Lead i Stockholm. Hör gärna av dig så ska jag se till att du kommer i kontakt med rätt person.

mia.paasuke@hiq.se +46 763147920

mia.paasuke@hiq.se +46 763147920

Kontakt

Region Lund, Helsingborg, Karlskrona and Malmö

Kontakt

Region Lund, Helsingborg, Karlskrona and Malmö

Peter Axelsson

Head of HiQ South

Hej, jag heter Peter, chef för region Syd. Jag brinner för teknik, affärer och ledarskap. Kontakta mig gärna!

peter.axelsson@hiq.se +46 72 156 71 75

peter.axelsson@hiq.se +46 72 156 71 75

Kontakt

Region

Kontakt

Region

Dan Jonsson

Head of HiQ West

Självkörande fordon, 6G, uppkopplade blöjor. Efter 23 år på HiQ är jag fortfarande full av beundran för vad våra magiska medarbetare åstadkommer tillsammans med våra kunder. Hör av dig så berättar jag mer!

dan.jonsson@hiq.se +46 703791229

dan.jonsson@hiq.se +46 703791229

Kontakt

Region Norrköping and Linköping

Kontakt

Region Norrköping and Linköping

Paul Martin

Head of HiQ Ace

Hej, jag är Paul. Chef för region ”Ace”. Låt oss prata om hur vi kan arbeta tillsammans för att göra skillnad; för ditt företag och för människors liv.

paul.martin@hiq.se +46 702 516 975

paul.martin@hiq.se +46 702 516 975

Kontakt

Region Västerås, Borlänge, Örebro and Eskilstuna

Kontakt

Region Västerås, Borlänge, Örebro and Eskilstuna

Per Gustafsson

Head of HiQ Mälardalen

Tillsammans skapar vi det företag som vi alltid har velat arbeta för, och som våra kunder alltid har velat jobba med! Vill du också jobba med eller för oss, är du varmt välkommen att kontakta mig!

per.gustafsson@hiq.se +46 703 752 347

per.gustafsson@hiq.se +46 703 752 347

Kontakt

Region Göteborg

Kontakt

Region Göteborg

Dan Jonsson

Head of HiQ West

Hej, Jag heter Dan, Regionchef för HiQ West. Låt oss prata ihop oss om hur vi kan skapa magi tillsammans.

dan.jonsson@hiq.se +46 703791229

dan.jonsson@hiq.se +46 703791229

Stäng