Nu börjar EU:s uppdaterade cybersäkerhetsdirektiv NIS2 gälla i Sverige genom den nya cybersäkerhetslagen. Syftet är att höja den digitala motståndskraften i hela samhället, inte bara hos de mest kritiska aktörerna. Här är tre saker du behöver ha koll på och vad som faktiskt kan hända om du inte följer reglerna.
Fler organisationer omfattas än det tidigare direktivet
• Medelstora och stora företag inom IT, digital infrastruktur, transport, avfallshantering, tillverkning, livsmedel samt post- och budtjänster
• Leverantörer och underleverantörer som är avgörande för den löpande driften
• Företag som tillhandahåller kritiska tjänster åt andra aktörer, även om de själva inte klassas som samhällskritiska
Skärpta krav på säkerhetsåtgärder
NIS2 ställer krav på både tekniska, organisatoriska och administrativa åtgärder. Det räcker alltså inte att ha ett antivirusprogram och en brandvägg. Organisationer måste kunna visa att de arbetar systematiskt och riskbaserat.
Det innebär bland annat:
• Göra regelbundna riskanalyser
• Ha dokumenterade rutiner för incidenthantering
• Arbeta med kontinuitetsplanering och återställning
• Säkerställa säkerhet i leverantörskedjan
• Utbilda personalen i säkerhetsmedvetenhet
• Rapportera allvarliga incidenter inom 24 timmar
Det här är inte en engångsinsats utan ett löpande arbete som ska följas upp, mätas och förbättras. NIS2 gör det tydligt att cybersäkerhet är en del av verksamhetsstyrningen snarare än en teknisk detalj.
Ledningen har ett tydligt ansvar
En av de största förändringarna i NIS2 är att ledningen får ett uttryckligt ansvar. Det innebär att styrelse och VD måste:
• Förstå de relevanta riskerna
• Fatta beslut om nödvändiga säkerhetsåtgärder
• Följa upp att säkerhetsarbetet faktiskt genomförs
• Säkerställa att organisationen har rätt kompetens
Ledningen alltså måste kunna påvisa att de har kontroll och att de agerat när risker uppstått. Det här skapar en helt ny nivå av ansvarstagande och transparens.
Vad händer om man inte följer NIS2?
Konsekvenserna att inte följa direktivet är betydligt skarpare än tidigare, och de är utformade för att få organisationer att ta frågan på allvar. EU signalerar alltså tydligt att cybersäkerhet inte är valfritt att prioritera. Så, hur ser effekterna av att inte följa NIS2-direktivet ut?
Höga sanktionsavgifter
Böter kan bli mycket kännbara. NIS2 öppnar för sanktionsavgifter som kan uppgå till miljonbelopp, beroende på verksamhetens storlek och hur allvarliga bristerna är.
Förelägganden och krav på åtgärder
Tillsynsmyndigheter kan kräva att organisationen omedelbart vidtar åtgärder - ibland omfattande sådana.
Det kan handla om allt från att införa nya rutiner till att bygga om delar av IT‑miljön.
Det kan bli både tidskrävande och kostsamt om man ligger efter.
Personligt ansvar för ledningen
Ledningen kan hållas ansvarig vid allvarliga brister vilket innebär att styrelse och VD måste kunna visa att de har gjort sitt jobb, annars kan det få konsekvenser för dem personligen. Det här är en av de mest omtalade delarna av NIS2, eftersom den skapar ett helt nytt tryck på styrning och uppföljning.
Risk för verksamhetsstörningar
Vid allvarliga brister kan myndigheter begränsa eller stoppa verksamheten tills säkerheten är tillräcklig. Det är ett kraftfullt verktyg som visar hur viktigt EU anser att digital robusthet är för samhällets funktion.
Källa: gibon
