Förberedelser för NIS2 direktivet
Hög tid att förbereda sig för NIS2
Det pågår en livlig diskussion i Sverige om vad EU:s nya NIS2 -direktiv inom nätverks- och cybersäkerheten betyder i praktiken. AFRY reder ut begreppen för att er verksamhet ska finna balansen mellan att skydda det skyddsvärda och samtidigt ha en smidig verksamhet.
Hotbilderna allt tydligare för allt fler
Några år sedan kunde en beredskapsövning i en kommun halta på grund av att deltagare ansåg att scenariot som innebar att kommunens anläggningar bombades var orealistiskt. Idag förstår alla riskerna i och med vi har Ukrainakriget som fondvägg på samhällets säkerhet. Det är angeläget att bygga upp en robust cybersäkerhet utan dröjsmål. AFRY har arbetat med samhällssäkerhet och cybersäkerhet på bred front under en lång tid och kan integrera säkerhetsperspektivet på samtliga tjänster och produkter som erbjuds.
"Alla har vi ju hört om hackerattacker som sker numera på daglig basis mot våra myndigheter, företag och civila organisationer. Det kan innebära uteblivna a-kasseersättningar, bankernas webbtjänster som ligger nere, eller GPS som visar fel. Alla vitala verksamheter i samhället måste idag vara beredda på sabotage och otillbörlig påverkan", säger Filip Enander, Business Unit Manager på AFRY Cyber Security.
EU:s målsättning är att skydda den gemensamma marknaden
Syftet med det nya direktivet NIS2 är att skydda den gemensamma marknaden i och med EU med sina 27 medlemsländer är idag en global ledare inom digital marknads- och infrastruktur. Allt oftare kommer hoten från fientliga stater och grupper. Det innebär att EU vill höja mognadsgraden i det systematiska informationssäkerhetsarbetet såväl som öka skyddet av de digitala strukturerna och systemen. Hoten mot dem kan utöver synligt sabotage handla om att ta ned system helt eller att vränga de inbyggda funktionerna så att till exempel mätapparater levererar fel värden.
De svenska företagen och organisationerna behöver ta höjd med sitt informationssäkerhetsarbete även utifrån EU:s kravnivå, samt inse att våra digitala system är tätt ihop inflätade med andra EU-länder, vare sig det handlar om energiöverföring, trafikslag eller molnbaserade verksamheter. NIS -direktivet har redan reglerat en del av detta. NIS2 lägger ett extra skyddslager på den grunden som vi redan har nationellt fastställt genom bland annat säkerhetsskyddslagen och -förordningen. I praktiken behövs såväl livrem som hängslen i verksamheterna för att kunna vara kompatibel med denna nya EU-rätt.
Utökningen av NIS2 är större än många anar. Förutom att det är riktigt hårda sanktioner som väntar dem som väljer att inte följa kraven, så har mängden verksamheter som omfattas blivit många gånger större. Bara nära det gäller tillverkande industrier berörs många hundra svenska företag. Men även livsmedelsproduktion, rymdbolag, managerade digitala tjänster och kemiska fabriker är några exempel på branscher som nu har krav på sig.
- Mats Karlsson Landré, säkerhetsrådgivare på AFRY.
Det är ingen överdriven gissning, att inom kort kommer till exempel försäkringsbolag säkra sig om att leverantörer av digitala tjänster, samt andra organisationer som är aktiva inom verksamhetsområdena som listas som samhällsviktiga enligt NIS2, har uppfyllt direktivets krav för att försäkringarna ska gälla vid cyberincidenter.
Att implementera NIS2 i praktiken
AFRY är traditionellt ett ingenjörsbolag som jobbar inne i kundernas verksamheter, och konsulterna har därmed en bred kunskap om vad kunden behöver och levererar. Men vi har också kompetensen för att göra en analys av vilka kunder som omfattas av NIS2, vad som krävs för att uppfylla EU-kraven, samt hur direktivet förhåller sig till säkerhetsskyddslagen. Därmed är AFRY ett stöd i arbetet för att anpassa sig den nationella NIS2-lagen som träder i kraft senast hösten 2024
"Vi är idag experter i kritiska verksamheter inom energi, industri och kritiska infrastrukturer såväl utifrån försvarsperspektivet som inom civilt försvar, både här i Sverige och även på många andra marknader. Det viktigaste vi kan ge kunder nu, är att extrahera de bästa arbetssätten för att uppnå compliance, att definiera dessa såsom en process för systematiskt säkerhetsarbete och passa in den processen i kundens befintliga ledningssystem. Vår långa erfarenhet ger oss även en förståelse av de gällande regelverken, och hur NIS2 ska implementeras i praktiken", berättar Johanna Cederström, senior rådgivare inom samhällssäkerhet på AFRY.
Utöver att förstå verksamheterna och de system som används, krävs det att man även förstår människor: organisationer, ledarskap och change management. Om man till exempel i organisationen har en vana att vara transparent, krävs det en hel del arbete för att lägga till ett säkerhetsfokus och lära medarbetare att göra sekretessbedömningar eller säkerhetsklassificiera uppgifter. Det innebär ofta att både processer, ledarskap, uppgifter och organisationskulturen måste ändras för att föra in säkerheten som en naturlig del av organisationens verksamhet.
Vi på AFRY har jobbat med att implementera en säkerhetskultur såväl i börslistade privata företag som vid kommuner, regioner och statliga myndigheter, och vet vad som krävs för att ändra ett arbetssätt på bestående sätt. Det krävs en delikat blandning av juridik, psykologi, sociologi parallellt med digitala och tekniska sakkunskaper för att lyckas med detta. Vi är vana att jobba i blandade team och använda våra kompetenser,
-Filip Enander.