SecurityWorldMarket

2024-12-06

Molnet och cybersäkerhet – Del 10 av 13

”NIS2 kräver ett helhetsgrepp på säkerhetsfrågor”

Med direktivet NIS2 implementerat i EU-ländernas lagstiftning måste berörda organisationer öka sin motståndskraft mot cyberangrepp.

Med direktivet NIS2 implementerat i EU-ländernas lagstiftning måste berörda organisationer öka sin motståndskraft mot cyberangrepp.

Kritisk infrastruktur och samhällsviktiga tjänster i EU ska skyddas. Med direktivet NIS2 implementerat i

EU-ländernas lagstiftning måste berörda organisationer öka sin motståndskraft mot cyberangrepp. Hela verksamheten måste leva upp till de skärpta cybersäkerhetskraven och arbeta systematiskt med informationssäkerhet.

RCO Groups CIO, Antonia Cruz Olsson, ser det som ett steg i rätt riktning.

RCO har under många år varit en av marknadsledarna inom passer- och larmsystem i Sverige. Företaget har varit med på resan från de analoga systemens tid till dagens uppkopplade värld, där det inte längre räcker att bara skydda sig mot fysiska hot. Cyberhotet är ständigt närvarande och växande, inte minst på grund av en geopolitisk osäkerhet. Detta ledde till att EU skapade det första NIS-direktivet som infördes redan 2018. Nu följs det upp med NIS2, som är planerat att träda i kraft i Sverige i form av cybersäkerhetslagen under sommaren 2025.

– Med NIS2 har EU utökat direktivets omfattning och ställt högre krav för att hantera risken för cyberattacker och dataintrång. Genom att säkerställa robust cybersäkerhet främjar NIS2 stabilitet, tillförlitlighet och förtroende i det digitala ekosystemet, vilket är avgörande för både den offentliga och privata sektorns fortsatta utveckling, kommenterar Antonia Cruz Olsson.

CIO:n välkomnar NIS2

Eftersom organisationer som verkar inom kritisk infrastruktur och samhällsviktiga tjänster måste uppnå NIS2-efterlevnad kommer även kraven på deras leverantörer.

– Vi välkomnar krav som fokuserar på att etablera god cybersäkerhet i hela verksamheten – från teknik och arbetssätt till rapportering och uppföljning, säger Antonia Cruz Olsson.

Antonia Cruz Olsson, CIO RCO Group.
Antonia Cruz Olsson, CIO RCO Group.

Flera sektorer berörs

Hon framhåller också den stora skillnaden mellan NIS1 och NIS2.

– NIS1 omfattade ett begränsat antal samhällsviktiga sektorer som energi, transport samt hälso- och sjukvård. NIS2 breddar detta och omfattar nu fler sektorer, bland annat tillverkning, digitala tjänster och leverantörskedjor.

– Dessutom ställer NIS2 högre krav på företagen att skydda sina nätverk och informationssystem. Detta innefattar inte bara tekniska åtgärder utan även tydliga rutiner för riskhantering och incidentrapportering. Alla nivåer inom organisationen måste vara involverade i säkerhetsarbetet.

Cybersäkerhet – en ledningsfråga

En viktig skillnad, som Antonia Cruz Olsson särskilt välkomnar, är att NIS2 understryker att ansvaret för cybersäkerhet ligger på ledningsnivå. Det är inte längre enbart en fråga för it-avdelningen, utan en strategisk affärsfråga som ledningen måste engagera sig i.

– Det ställs krav på att företagets högsta ledning har insikt i och tar ansvar för säkerhetsåtgärder, vilket är en markant skillnad från NIS1.

Krav på incidentrapportering

Andra viktiga skillnader som Antonia Cruz Olsson lyfter fram är kraven på incidentrapportering.

– En nyckelkomponent i NIS2 är den utökade rapporteringsskyldigheten vid säkerhetsincidenter. Företag måste rapportera betydande incidenter inom specifika tidsramar, vilket kräver tydliga processer för incidenthantering.

Leverantörskedjan måste säkras

En väsentlig skillnad mot NIS1 är också att NIS2-direktivet ställer krav på säkerheten i hela leverantörskedjan. Det innebär att företag inte bara behöver säkra sin egen verksamhet utan även säkerställa att deras leverantörer och partners uppfyller höga säkerhetsstandarder.

Kostsamt att ignorera efterlevnad

Att organisationer lägger stora resurser på att klara NIS2-kraven är förstås viktigt för att stärka motståndskraften mot cyberhot, men också eftersom det kan bli mycket kostsamt att inte uppfylla kraven, både finansiellt och ur ett varumärkesperspektiv. Liksom vid GDPR-överträdelser kan sanktionsavgifterna bli höga. Storleken beror hur viktig verksamhet som organisationen bedriver samt hur allvarlig överträdelsen är.

Att göra för berörda företag

För företag som berörs av NIS2 är det därför viktigt, enligt Antonia Cruz Olsson, att analysera vilka krav NIS2 ställer och skapa en handlingsplan för att åtgärda eventuella brister i säkerhetsrutiner och system.

– Dessutom bör man ställa tydliga krav på både nya och befintliga leverantörer för att säkerställa att hela leverantörskedjan uppfyller direktivets krav. Genom att förbereda sig i god tid kan företag undvika potentiella sanktioner och minimera säkerhetsrisker i en alltmer digitaliserad värld, menar Antonia Cruz Olsson, som i NIS2 ser ett skifte i hur företag måste arbeta med säkerhet.

– Det är inte en certifiering av produkter utan en lagstiftning som påverkar hela verksamheten och kräver ett helhetsgrepp på säkerhetsfrågor. För RCO Security och våra kunder innebär detta att säkerhet ska vara integrerat i allt vi gör, från produktutveckling till dagliga rutiner och processer.


 

Den här artikeln/artikelserien har producerats av facktidningen Detektor i samarbete med Securityworldmarket.com.



Leverantörer
Till toppen av sidan