Robert Jansson lyfte tidigt fram NIS2:s betydelse för säkerhetsbranschen. Det började i en paneldiskussion på Sectech 2021, där han uttryckte sin uppfattning att beställare av passersystem bör undvika proprietära lösningar och i stället välja öppna plattformar.
– I den kontexten framhöll jag cybersäkerhetskraven som NIS2-direktivet ställer och att de inte harmonierar med proprietära system, där kunden blir beroende av en enda leverantörs komponenter och mjukvara, berättar Robert Jansson.
Responsen från paneldeltagarna var då svag, men intresset från publiken var större.
– Efteråt kom flera åhörare, både slutkunder och leverantörer, fram för att veta mer om NIS2 och hur de kunde säkerställa sina installationer för att stödja efterlevnad av direktivet, säger han.
Ökad medvetenhet om NIS2
Därefter började Robert Jansson synas alltmer i medierna. Genom debattartiklar och intervjuer framhöll han vikten av att leverantörer av passersystem ser över sina lösningar och påbörjar nödvändiga åtgärder i god tid.
– Jag varnade för att NIS2 skulle få samma effekt som GDPR för många företag – att man i elfte timmen börjar panikartat genomföra de åtgärder som krävs. Och det är väl delvis vad som har hänt, säger han.
Stid i bräschen för öppna system
Robert Jansson poängterar att hans arbete för cybersäkerhet alltid har haft stöd från Stid, en ledande global tillverkare av kortläsarteknologi.
– Stid har länge drivit cybersäkerhetsfrågan genom att utveckla produkter baserade på öppna standarder och interoperabilitet. Vi förespråkar användning av öppna passersystem eftersom det möjliggör integration med andra säkerhetssystem och underlättar framtida uppgraderingar, vilket minskar risken för sårbarheter i proprietära system, säger han.
Efterlevnad av NIS2-direktivet
Stid arbetar aktivt för att deras produkter ska uppfylla NIS2-direktivets strängare krav på cybersäkerhet. Detta inkluderar både fysisk och logisk säkerhet samt skydd av kritisk infrastruktur.
– Genom att delta i organisationer som SPAC (Secure Physical Access Control) driver Stid på för standardisering och innovation inom fysisk och digital säkerhet. Detta bidrar till att höja säkerhetsnivån i passersystem och möta ökande krav på cybersäkerhet, berättar Robert Jansson.
Ökad motståndskraft mot cyberhot
Robert Jansson är nöjd med att marknadens leverantörer under året har börjat inse vikten av NIS2, även om det tagit längre tid än väntat.
– Polletten har trillat ner nu, men för branschen återstår mycket för att hjälpa kunderna att uppfylla efterlevnadskraven, säger han.
Robert Jansson pekar också på en positiv konsekvens av att marknaden nu kommer tvingas gå mot öppna system.
– En spin-off av att leverantörerna ser över vad som krävs för ökad cybersäkerhet är att även verksamheter som inte är kopplade till kritisk infrastruktur bör kunna förvänta sig att deras passersystem blir mer motståndskraftiga mot cyberhot också, säger han.
Cybersäkerhetslagen 2025 NIS2 blir svensk lag i januari 2025 och syftar till att skydda samhället mot cyberhot. Lagen omfattar 18 sektorer (tidigare 9) och ställer krav på riskanalys, säkerhetsåtgärder och incidentrapportering. Brist på efterlevnad kan resultera i sanktionsavgifter på upp till 2 procent av årsomsättningen. Dessutom kan företagsledningen hållas ansvarig vid brister.
– Det är allas vår plikt att som leverantörer av säkerhetssystem att hjälpa kunder med NIS2-efterlevnad, säger Robert Jansson.
Rätt frågor att ställa
Vad bör kunder tänka på vid val av passersystem för att underlätta efterlevnad av NIS2 och GDPR? Robert Jansson har formulerat tre grundläggande frågor som bör besvaras:
Baseras systemet på öppna standarder?
Är systemet proprietärt eller öppet? Blir min organisation låst till en enda leverantör/tillverkare, eller kan vi uppgradera och säkra systemet över tid genom att fritt få välja de komponenter som bäst lämpar sig för aktuella behov?
Hur cybersäkras systemet?
Är både hårdvaran och mjukvaran cybersäkrad med en öppen, endto- end-lösning? Kan leverantören verifiera säkerheten?
En GDPR-fråga – hur hanteras personuppgifter och integritet?
Hur säkerställs att systemet följer dataskyddsregler och hanterar personuppgifter på ett säkert och lagligt sätt?
Fokus på läsarteknologi
Avslutningsvis, frågan som måste ställas till Robert Jansson. Hur är det då med läsarna, Stids specialitet? Något särskilt att tänka på där?
– Nej, egentligen inte. Läsarna ska kunna kommunicera säkert med olika kontrollenheter via standardprotokoll som OSDP eller SSCP. De bör också stödja flera kortmediatyper, inklusive mobila högsäkerhetsmedia och möjliggöra övergång från låg till hög säkerhet. Läsarna ska självklart, precis som kontrollenheterna, vara uppgraderingsbara för att möta förändrade hotbilder. Öppenhet igen, det är den vägen vi måste gå, svarar han avslutningsvis.