SecurityWorldMarket

2025-06-10

ID-hantering & Passerkontroll – Del 8 av 14

Seriline: NIS2 och CRA kommer rensa bort en hel del mindre aktörer

Freddie Parrman och Christian Lund.

Freddie Parrman och Christian Lund.

Föreskrifter och direktiv från EU som NIS2 och CRA (Cyber Resilience Act) kommer att ställa högre cybersäkerhetskrav på organisationer och företag och kräva nya arbetssätt.

– De här regelverken är bara början. Det kommer att eskalera och rensa bort en hel del av de mindre aktörerna, säger Serilines vd Freddie Parrman.

Detta är en artikel i en serie på temat ID-hantering & Passerkontroll. Längst ner hittar du länkar till övriga artiklar under samma tema.

Den svenska lagstiftningen som implementerar NIS2 beräknas träda i kraft tidigast sommaren 2025 och Cyber Resilience Act (CRA) trädde i kraft den 10 december 2024. Kraven på produkter börjar tillämpas från den 11 december 2027.

Tanken med NIS2-direktivet är att höja EU:s gemensamma cybersäkerhetsnivå och samhällsviktig verksamhets motståndskraft. I jämförelse med det första NIS-direktivet ställer NIS2 tydligare krav på till exempel riskanalyser och olika säkerhetsåtgärder.

Fler verksamheter omfattas av NIS2

Betydligt fler företag omfattas av NIS2, särskilt de som klassas som ”väsentliga” eller ”viktiga” enheter inom samhällsviktig verksamhet.

– NIS var ganska nischat från början, NIS2 är betydligt bredare och säkerhetsbranschen som sådan blir väldigt träffad av det här, säger Freddie Parrman.

Han beskriver NIS2 som en ”game changer” som flyttar säkerhetsfrågor från att vara ett tekniskt ansvar till att bli en ledningsfråga – inte minst eftersom det kan bli väldigt kännbart både för organisationer och individer att bryta mot reglerna.

– Jämfört med GDPR inför NIS2 strängare sanktionsavgifter, i värsta fall kan person med ledningsansvar förbjudas att utöva sin ledningsfunktion, så har det inte varit tidigare, säger Christian Lund, CIO på Seriline.

– Nu är det vd och styrelse som åker på det här. Det går inte att delegera ner, konstaterar Freddie Parrman.

Måste hålla produkter uppdaterade

Då NIS2 riktar sig mot organisationer inom samhällsviktig verksamhet, fokuserar CRA på cybersäkerheten i produkter med digitala element, såsom hårdvara och mjukvara. CRA inför tvingande cybersäkerhetskrav som sträcker sig över hela produktens livscykel.

Tillverkare, importörer och distributörer ansvarar för att säkerställa att produkter är säkra redan från designstadiet, har inbyggt skydd mot cyberhot och tillgängliga säkerhetsuppdateringar. För vissa kritiska produkter krävs dessutom en oberoende tredjepartscertifiering innan de får säljas inom EU.

Seriline beskriver CRA som en cybersäkerhetsmärkning liknande CE-märkningen, där alla täckta produkter måste uppfylla de fastställda säkerhetskraven för att få säljas inom EU.

– Det här är definitivt en vattendelare. Vi vet ju vad ISO 27001 (säkerhetsstandard för informationssäkerhet) kostar. Det är stora investeringar och det är ett helt förändrat arbetssätt. CRA kommer ställa jättehöga krav på tillverkare – tröskeln höjs och de företag som inte har en viss volym får det tufft, säger Freddie Parrman.

Seriline satsar stora resurser på att hjälpa sina kunder att förstå och följa både NIS2 och CRA. Freddie Parrman menar att bolaget kommer lägga lika mycket krut på CRA:

– Ja, definitivt. Den är ju minst lika viktig som NIS2. Vi har ett stort ansvar att utbilda marknaden och våra kunder, säger han.

ISO 27001 viktigt

Som leverantör av ID-hanteringslösningar märker Seriline av de ökande cybersäkerhetskraven i NIS2 och CRA.

– Särskilt i våra upphandlingar ser vi en ökad efterfrågan på säkerhetslösningar, och det är en del av vårt dagliga arbete. Vår plattform Serix IAM fungerar som ett överordnat system ovanför kundernas passersystem och larmsystem. Vi har flera stora kunder inom kritisk infrastruktur, och de är ofta de första att ställa viktiga frågor som: ”Hur säkerställer ni att detta fungerar?”, ”Är det säkert?” och ”Är det byggt på rätt sätt?”, säger Christian Lund.

Freddie Parrman fyller i:

– Serix IAM är en IT-plattform och ingenting annat – det är inte ett säkerhetssystem. Samtliga processer omfattas av ISO 27001 och vi gör oss ”compliant” mot CRA och NIS2.

Rapporteringsskyldighet

Seriline arbetar aktivt med ISO 27001, en globalt erkänd standard för informationssäkerhet.

– Det handlar om att arbeta systematiskt, strukturerat och riskbaserat. Många av NIS2-direktivets krav på riskhantering, policyer och tekniska åtgärder ligger i linje med ISO 27001, men standarden täcker inte alla delar. Exempelvis kräver NIS2 att organisationer genomför penetrationstester och har etablerade kontinuitetsplaner, vilket inte alltid är detaljerat i ISO 27001, säger Christian Lund.

Han påpekar att ett av de stora kraven som faller under de nya regelverken är att kunna säkerställa att endast auktoriserade användare kommer åt kritiska system.

– Med vår plattform kan vi lösa detta. Många stora företag har inte bara ett passersystem, utan flera – ofta från olika leverantörer och med olika fabrikat. Hur säkerställer man då att en användare bara finns i rätt system? Eller att en anställd som slutar raderas från samtliga system i tid? Det är här vår plattform spelar en avgörande roll genom att centralisera och automatisera hanteringen, säger Christian Lund.

Osynliga identiteter – en säkerhetsrisk

– Om jag sticker ut hakan lite: när vi kommer in har kunden ofta flera olika system och i genomsnitt kan organisationer inte identifiera 10–15 procent av antalet identiteter när vi slår ihop datan. Det kan till exempel handla om personer som slutat, detta är vår främsta styrka – vi hjälper våra kunder att rensa databaser och avlägsna användarkonton samt behörigheter för dessa individer säger Freddie Parrman.

Oro för Europa

De senaste årens säkerhetspolitiska utveckling, Sveriges Natointräde och efterföljande beslut har påverkat många verksamheter. Säkerhetskraven har ökat och med NIS2 måste många skärpa sin informationssäkerhet. Detta påverkar Serilines försäljning positivt.

– Dels är det många som omfattas av säkerhetsskyddslagen och behöver se över det här. Sedan är det compliancefrågorna som driver mycket också. Dora-förordningen är som NIS2 eller CRA för finansbranschen. De här regelverken är bara början, det här kommer att eskalera. Europa reglerar stenhårt medan USA går åt andra hållet och släpper på sina ”regulations”. Så konkurrenskraften Europa vs USA är en oro jag har, säger Freddie Parrman.

Cybersäkerhet – en ledningsfråga

Idag har många av de organisationer som berörs av NIS2 ökad medvetenhet om direktivet, men CRA – vars bindande krav träder i kraft i december 2027 – är fortfarande relativt okänt bland säkerhetsbranschens slutkunder.

– Många skjuter på det, inte för att de inte ser det som viktigt, utan för att det ligger några år framåt i tiden. Fokus ligger ofta på akuta frågor här och nu, och man avvaktar med att förbereda sig för regulatoriska krav som ännu inte är fullt implementerade. Vår roll är att lyfta de här frågorna tidigt, så att våra kunder är i framkant och kan agera proaktivt, säger Christian Lund.

Seriline arbetar aktivt med att stödja kunder i deras efterlevnad av både NIS2 och CRA. En nyckel i detta arbete är Serix IAM, en plattform som integrerar och säkerställer att rätt användare har rätt access i olika system.

– Serix IAM kommer att vara en central lösning för våra kunder i arbetet med NIS2 och CRA. Plattformen gör det möjligt att hantera behörigheter på ett säkert och automatiserat sätt, särskilt i organisationer där det finns flera passersystem, olika fabrikat och komplexa IT-miljöer. Genom att matcha data från olika källsystem, som HR-plattformar och Active Directory, kan vi identifiera obehöriga användare, rensa inaktiva konton och se till att endast rätt personer har tillgång till kritiska system, avslutar Christian Lund.

Den här artikeln/artikelserien har producerats av facktidningen Detektor i samarbete med Securityworldmarket.com.

E-post: info@seriline.com
Webb: www.seriline.com
Läs mer om Seriline AB

Nyheter från startsidan
Till "Tema"  

Leverantörer
Ändra marknad
Global North America Middle East United Kingdom Sweden Norway Denmark
Till toppen av sidan