Webinarserie - NIS2 Insights, del 1
NIS2 är ett krav på att aktivt skydda verksamhet, kunder och samhälle mot avancerade cyberhot – och arbetet bör börja nu. Advokat Agnes Hammarstrand (Delphi) och Christopher Läns, GRC Lead på Stratsys, förklarar att lagen införs som cybersäkerhetslagen, breddar vilka som omfattas och lägger ett personligt ansvar på ledningen. Informationssäkerhet är en verksamhetsfråga, inte en IT-fråga, och en ISO 27001-certifiering räcker inte.
Se hela webinaret ovan eller läs transkriberingen av samtalet nedan.
Transkribering - Gjord av AI och kan därför innehålla fel
Med Therese Matton (Head of Platform & Product Operations, Stratsys)
Therese Matton | 0:14
Hej och varmt välkomna till NIS2 Insights. Jag heter Therese Matton och kommer att guida er genom dagens webinar. Temat är, som ni såklart vet, NIS2 – EU-direktivet som snart blir verklighet här i Sverige och kommer att påverka många organisationer. Men NIS2 är inte bara en i raden av regelverk, utan det handlar i grunden om hur vi ska skydda våra verksamheter, våra kunder och samhället mot allt mer avancerade cyberhot.
Therese Matton | 0:46
För många känns NIS2 fortfarande lite abstrakt. Vilka krav är det som gäller för just oss? När ska det vara klart? Vad kommer att hända om vi inte lever upp till det? Syftet med dagens webinar är att ni ska få en tydligare bild över vad som faktiskt kommer och hur ni redan nu kan börja jobba för att stå väl rustade.
Therese Matton | 1:08
Men det här kommer jag inte göra själv, utan jag har med mig två experter som möter de här frågorna varje dag. Först får vi lyssna till Agnes Hammarstrand, advokat på Delphi med lång erfarenhet av IT- och techjuridik, och efter henne Christopher Läns, GRC-expert på Stratsys med praktisk erfarenhet av de här frågorna och av risk och styrning. Det finns väldigt, väldigt mycket man kan säga om NIS2, så det här webbinariet är det första i en serie av tre.
Therese Matton | 1:39
Den 6 november går vi ännu mer praktiskt in på de här frågorna tillsammans med [partnerorganisation – namn oklart i inspelningen] och får höra om deras erfarenheter i arbetet. Sista delen, den 3 december, fokuserar vi på leverantörskedjor och tredjepartsrisker. Så om ni inte redan har anmält er till dem, se till att göra det.
Therese Matton | 2:01
Som ni ser finns det en chatt – använd den jättegärna för att skriva frågor. Vi kommer att försöka besvara dem vi kan skriftligen nu och kanske samla upp några i slutet av sändningen. Men om vi inte hinner besvara dem kommer vi att skicka ut svaren till er i efterhand, tillsammans med inspelningen.
Therese Matton | 2:20
Men nu är det dags att vi kör igång. Så luta er tillbaka, fyll på kaffet, så ska vi se hur vi tillsammans kan göra NIS2 till något som stärker snarare än skrämmer våra verksamheter. Välkommen, Agnes Hammarstrand!
Med Agnes Hammarstrand (Partner och advokat, Delphi)
Agnes Hammarstrand | 2:45
Ja, hej och tack så mycket för att jag får vara med på det här viktiga webbinariet. Vi ska prata lite mer om vad NIS2:s krav egentligen handlar om. Vem är jag då som pratar? Jag heter Agnes Hammarstrand och jag jobbar som advokat inom IT- och techjuridik, och har fått förmånen att ha varit med och arbetat inom det här området länge nu.
Agnes Hammarstrand | 3:11
Jag ingår i ett team med experter på Delphi som jobbar med allt från SaaS och IT-avtal till GDPR, och som hjälper många företag och verksamheter med det här. En spännande sak vi jobbar med på Delphi är att vi har en incidentjour, och som en del i den incidentjouren har vi tyvärr, ska jag säga, sett baksidorna av incidenter. Inte minst de senaste åren med många allvarliga ransomware-attacker har vi blivit medvetna om vilka stora konsekvenser en cyberattack kan få – inte bara för samhället utan också för den enskilda verksamheten och för företag. Det visar hur otroligt viktigt det här ämnet är.
Agnes Hammarstrand | 3:59
Cybersäkerhet är något som berör oss alla. Jag ska börja med att ge en liten bakgrund till lagstiftningen och en överblick över vad det här egentligen handlar om.
Agnes Hammarstrand | 4:11
Vi har ju idag NIS-lagen. Det är lite roligt när man döper en lag – först NIS1 och sen NIS2. I Sverige föreslås nu det här bli cybersäkerhetslagen. NIS står helt enkelt för Network and Information Systems, och det är en lagstiftning som handlar om säkerhet i våra informationssystem. Precis som vi hörde innan är det här ett nytt EU-direktiv som breddar tillämpningsområdet och skärper reglerna jämfört med det gamla direktivet.
Agnes Hammarstrand | 4:51
Den här nya lagen är försenad i Sverige. Den skulle redan ha börjat gälla för över ett år sedan, men nu kommer den antagligen bli verklighet i början av nästa år. Vi vet inte exakt datum, men 15 januari är förslaget.
Agnes Hammarstrand | 5:08
En del av er kanske tänker: ja, men då väntar vi tills lagen börjar gälla innan vi jobbar med det här. Men det är nog, skulle jag säga, ett av de största misstagen, därför att informationssäkerhet är något man behöver jobba med ständigt – och vi vet redan hur kraven kommer att se ut. Det finns vissa detaljer kring exakt teknik och exakt vad ni ska göra som inte är tydliga än. Men jag brukar säga att det inte nödvändigtvis blir tydligt ens den 15 januari, utan det är detaljer som kan komma att variera över tid, och som ska variera. Det säger sig självt: den krypteringsteknik som kanske är nödvändig idag är inte den som kommer vara nödvändig om två, tio eller 15 år.
Agnes Hammarstrand | 5:56
De tekniska detaljerna kring lagen kommer att variera över tid. Så det här är något man behöver ta tag i med en gång.
Agnes Hammarstrand | 6:06
Varför är då den här lagen viktig? Jag har redan sagt att det kan få stor påverkan för er som företag eller myndighet, och det är ju ett skäl så gott som något när det gäller den egna verksamheten. Affärspåverkan och verksamhetspåverkan kan bli enorm om man utsätts för en incident och inte är väl förberedd. Den här lagen handlar både om att förebygga incidenter och om att agera på rätt sätt när de sker. Är man ett företag med ett starkt varumärke kan det få påverkan – och det gäller såklart även för myndigheter. Det kan påverka kunder, medarbetare, medborgare och samhället. Och sen, kanske inte det viktigaste, men det vi som advokatbyrå ser: det här får också rättsliga konsekvenser.
Agnes Hammarstrand | 7:03
I kölvattnet av vår incidentjour på Delphi, och det arbete vi gör, ser vi många tvister, skiljeförfaranden, problem, krav och i vissa fall till och med konkurser som uppstår. Det kommer inte alltid ut i media, även om vi har kunnat läsa om en del sådana ärenden och case som rapporterats.
Agnes Hammarstrand | 7:28
Sammanfattar man det här kan man se att cybersäkerhet kanske aldrig har varit viktigare än nu. Det finns många goda skäl att jobba med informationssäkerhet generellt, men också med de krav som finns i just NIS.
Agnes Hammarstrand | 7:44
Vi har ju haft NIS-lagen redan i Sverige och EU, men det stora som nu sker är att man breddar omfattningen av lagen. Jag får ofta höra att det här bara är något som träffar samhällsviktig verksamhet. Men det stämmer inte längre. Det var mer så i den gamla lagen – nu breddar man scope till att omfatta många fler. Så många av er som inte bedriver typiskt samhällsviktig verksamhet kommer att träffas ändå. Jag ska snart gå in på vilka som träffas.
Agnes Hammarstrand | 8:18
En väldigt stor nyhet är att det är mer fokus på ledningens ansvar. Ledningen ska styra och leda arbetet med lagen – det är en central röd tråd genom hela lagstiftningen. Tanken är också att det här ska tas på allvar. Det blir mer arbete med att samordna inom EU, hårdare sanktioner, och fokus på att tillsynen ska vara densamma oavsett vilken typ av aktör man är.
Agnes Hammarstrand | 8:52
Så en hel del nyheter i den här lagen, både för er som redan träffas av NIS idag och för er som inte träffats tidigare – och sen, utöver det, en hel del detaljer kring vilka säkerhetsåtgärder man ska vidta för att följa lagen.
Agnes Hammarstrand | 9:09
Men vi börjar lite kort med vilka det är som träffas av lagen. Det är ju den första frågan: hur träffas vi? Man kan träffas direkt av lagen – då gäller lagen er som företag eller myndighet direkt. Utöver det kan man träffas indirekt, genom att era kunder eller samarbetspartner ställer krav på er att göra vissa saker som krävs enligt lagen. Men vi börjar med dem som träffas direkt av lagstiftningen.
Agnes Hammarstrand | 9:43
Till att börja med träffas större delen av offentlig sektor. Det finns vissa undantag – vissa statliga myndigheter träffas inte, och i vissa fall går annan lagstiftning före, som säkerhetsskyddslagen när det gäller säkerhetsklassad verksamhet. I vissa fall, när det gäller finansiella sektorn och försäkringsbolag, gäller DORA istället. Men annars träffas större delen av offentlig sektor.
Agnes Hammarstrand | 10:10
Tittar man på den privata sektorn är det lite mer komplext. Ni kan titta på min bild här för att se vilka som träffas. Till att börja med ska man vara inom en listad sektor – och det är inte helt enkelt att avgöra, för det är alla möjliga sektorer som omfattas. Jag ska strax visa en bild på det.
Agnes Hammarstrand | 10:31
Sen måste man vara ett medelstort eller större företag, eller ingå i en större grupp av företag – alltså ägas av en större koncern. Annorlunda uttryckt: är ni väldigt små och inte en del av en större koncern, kan det vara så att ni slipper träffas av lagen. Man ska också vara inom EU. Sen finns det vissa sektorer som alltid träffas, oavsett storlek – det kan vara bra att känna till. Det är verksamheter som man bedömt är så viktiga för samhället att de alltid ska träffas.
Agnes Hammarstrand | 11:07
Storleken på företaget är en hel liten vetenskap i sig, men huvudregeln är att har man minst 50 anställda eller omsätter minst tio miljoner euro, då träffas man av lagen. Men som jag var inne på tar man också hänsyn till hur man ingår i en större grupp av företag, och då kan man träffas ändå. Så gör en noggrann bedömning om ni är osäkra, gärna med hjälp av en expert eller extern advokat.
Agnes Hammarstrand | 11:41
Vilka sektorer träffas då? Till att börja med har vi de sektorer som redan idag träffas av NIS1, och det är dem ni ser på tavlan nu. Det är allt från hälso- och sjukvård till energi och bank – fast bank har ju i det här fallet DORA och företräde. Men i botten är det samma sektorer som följer med in i den nya lagen, och det är lite mer klassiskt samhällsviktig verksamhet.
Agnes Hammarstrand | 12:13
Men det som är intressant är de nya sektorerna. Här har vi allt från avlopp till post och en stor lista över tillverkning. Det är ofta ganska kluriga bedömningar, där man måste gå in och titta i en lista över vilka sektorer som träffas. Som ni ser träffas även viss forskning, livsmedel, och det jag jobbar väldigt mycket med: digital infrastruktur, programvara och digitala tjänster. Så de flesta aktörer som jobbar inom IT, digital infrastruktur och SaaS kommer att träffas av lagstiftningen.
Agnes Hammarstrand | 13:00
Så man behöver helt riktigt göra en ordentlig bedömning: träffas vi av lagen, och i så fall hur? Och jag går återigen tillbaka till det jag nämnde förut – att man kan träffas direkt eller indirekt. Även om man inte träffas direkt, för att man kanske inte ingår i någon av de här sektorerna, kan man ändå träffas indirekt genom att era kunder eller samarbetspartner kräver att ni följer lagens krav, eftersom de träffas.
Agnes Hammarstrand | 13:33
Det här är något vi kommer att få höra mer om i kommande webbinarier i den här serien som Stratsys ordnar, när vi pratar om leverantörskedjan. Det finns nämligen ett krav i lagen på att ställa krav på sina leverantörer. Det innebär att om ni är leverantör kan ni faktiskt få de här kraven på er – för att överhuvudtaget få sälja till era kunder.
Agnes Hammarstrand | 14:02
Fundera lite över det: har ni kunder som träffas och som ni levererar till? Då kanske ni också måste göra ett arbete för att följa lagens krav – inte riktigt på samma sätt, kanske bara vissa delar, kanske bara vissa delar av verksamheten. Men ändå viktigt att fundera på.
Agnes Hammarstrand | 14:20
I den här nya lagen utökar man också tillsynen så att den blir lika för alla. Men det finns en skillnad: beroende på vilken aktör man är kan man få proaktiv eller reaktiv tillsyn. Vissa aktörer kommer att få tillsyn – det är inte en fråga om man kommer att få tillsyn, utan när. Vissa sektorer har man valt ut där man helt enkelt vet att man kommer att få regelbunden tillsyn.
Agnes Hammarstrand | 14:49
Och det är så det redan fungerar i praktiken i vissa sektorer idag. Jag har sett en del tillsyner, och det är vissa aktörer som vet att de har regelbunden NIS-tillsyn – till exempel om man är domännamnsregistrar eller inom hälso- och sjukvård och liknande. Men det här utökas nu i och med den nya lagen.
Agnes Hammarstrand | 15:09
Det är också så att alla ni som träffas av lagen själva ska anmäla er till en tillsynsmyndighet, så det är något man själv måste ta tag i. Det är ingen som kommer att påpeka det – som jag sett att det sker i vissa andra länder och med vissa andra lagar – utan man får själv se till att anmäla sig.
Agnes Hammarstrand | 15:29
En fråga man såklart kan ställa sig är vad man riskerar om man gör fel. Vad händer om man bryter mot den här lagen? Jo, då är det så klassiskt EU-vis att man inför sanktioner som ska vara effektiva, proportionella och avskräckande. Det ska helt enkelt kosta mer att göra fel än att göra rätt.
Agnes Hammarstrand | 16:00
Det är en viktig princip när EU sätter sina sanktioner. Man har det här klassiska sanktionsbatteriet, om vi får kalla det så, som vi ser i mycket annan lagstiftning – till exempel i GDPR – där man kan få både förbud eller förelägganden att agera, eller inte agera, på ett visst sätt. Vi har också sanktionsavgifter, och de varierar beroende på vilken typ av verksamhet man är i lagen.
Agnes Hammarstrand | 16:33
Man skiljer på väsentliga och viktiga verksamhetsutövare, och sen offentliga verksamhetsutövare. Beroende på vilken aktör man är blir det olika krav man träffas av, och olika sanktioner man kan få. Men principen är samma som i mycket annan lagstiftning: det kan vara 1 % av omsättningen upp till ett visst värde som man riskerar, som ni ser på min skiss här.
Agnes Hammarstrand | 17:04
Det som också är lite spännande, en nyhet i NIS2 jämfört med mycket annan EU-lagstiftning, är att man har infört ett mer personligt förbud i vissa fall – något som kallas ledningsförbud. NIS generellt, och den nya cybersäkerhetslagen, gäller ju naturligtvis organisationen, det vill säga företaget eller myndigheten är den aktör som ska följa lagen. Men här har man också satt ett personligt ansvar för de individer som sitter i ledningen.
Agnes Hammarstrand | 17:43
Det är för att man vill att den här lagen ska tas på allvar. Det kanske var så att man tyckte att GDPR inte alltid togs på allvar på det sätt man ville. Vi har Data Act som precis har börjat gälla, som jag tycker det varit alldeles för lite diskussion om – jag stod själv och föreläste om det här i morse. Det är många lagstiftningar från EU som kanske inte fått det genomslag EU önskat, och då försöker man tagga till ledningen lite, genom att sätta att det här är ett personligt ansvar. Ni kan själva få ledningsförbud om ni inte följer lagens krav.
Agnes Hammarstrand | 18:18
Och det här ledningsförbudet ska såklart inte vara något man kan få hur lätt som helst. Men jag kommer strax in på kraven, och då ser ni att det är ett väldigt fokus på just att ledningen ska ta ansvar för att följa reglerna. Väldigt spännande, och kanske lite intressant att se hur det här kommer att tolkas framöver.
Agnes Hammarstrand | 18:42
Nu har vi pratat lite om när lagen gäller, vad den innebär och vilka syften den har. Nu tänkte jag gå in mer på detaljer kring vad lagen egentligen säger. Om vi nu har konstaterat att vi träffas av lagen, direkt eller indirekt – vad ska vi då göra för att följa den? Jag ska gå igenom reglerna lite grann, och sen diskuterar vi lite senare hur man kan hantera det här praktiskt.
Agnes Hammarstrand | 19:19
Till att börja med lägger man, som jag redan antytt, väldigt mycket fokus på ledningen. Det är en röd tråd i lagen: ledningen har ansvaret för att säkerställa att lagen följs. Det här är inget ansvar man bara kan delegera nedåt, och framför allt inte säga "det där får IT-avdelningen ta hand om" eller "vi har väl någon CISO eller infosäkerhetsperson som får sköta det här själv". Tvärtom – tanken är att ledningen ska vara med och styra över hur lagen implementeras.
Agnes Hammarstrand | 19:57
Det innebär naturligtvis inte att det är ledningen som ska göra allt arbete med lagen, men man ska vara i kontroll. För att lösa det här behöver man i praktiken någon typ av ledningssystem – någon typ av process för att säkerställa att man gör på samma sätt år ut och år in, oavsett om någon slutar eller börjar, oavsett om vi byter lokaler. Man ser till att man har rutiner och processer som följs över tid och som är inbyggda i verksamheten.
Agnes Hammarstrand | 20:35
Och det är ett ledningssystem som gäller just informationssäkerhet, för det är det vi pratar om. Det är en väldigt konkret åtgärd ledningen kan göra: att se till att ett ledningssystem är implementerat och på plats. Det kan exempelvis vara ISO 27000-serien – ISO 27001 är vanligt när det gäller informationssäkerhet – men det behöver inte vara det. Det kan vara ett motsvarande ledningssystem, till och med ett så kallat hemmasnickrat ledningssystem, bara man ser till att det motsvarar kraven.
Agnes Hammarstrand | 21:09
Det här är centralt, det är viktigt att man vet det. Utöver det behöver ledningen vara, om man säger, in charge: man behöver följa upp, utvärdera och ha koll på vad som händer med arbetet inom NIS. Och för att det ska vara möjligt...
Agnes Hammarstrand | 21:28
...inför man också ett utbildningskrav för ledningen. Det är ganska speciellt – det är inte så många lagar där man säger att ledningen måste gå en utbildning, men det gör man faktiskt i NIS. Det har varit mycket diskussion om huruvida alla ska ha utbildning, men i nuvarande förslag uppmanar man att man har utbildning för alla. I vart fall bör man ha utbildning i informationssäkerhet i praktiken.
Agnes Hammarstrand | 21:58
Mer sånt som ni säkert får, precis som jag, där man får lära sig att inte klicka på farliga länkar – den typen av utbildning som handlar mer om hur man ska bete sig i en digital miljö. Det bör man ha för alla anställda som i vart fall hanterar mejl och datorer.
Agnes Hammarstrand | 22:15
Men för ledningen krävs alltså en utbildning, och den utbildningen är inte detaljerad i lag – exakt hur omfattande den ska vara eller hur den ska se ut. Det får man anpassa, och det kommer även föreskrifter kring det. Jag brukar dock säga: vänta inte med det. Se till att man i vart fall har gått den grundläggande utbildningen här nu före årsskiftet, så att man har koll på att man ska följa lagen och leda arbetet med den. Sen kanske det behöver kompletteras med mer utbildning när vi vet mer, för det kan komma specifika utbildningskrav beroende på vilken sektor man befinner sig i så småningom. Då får man ta det då.
Agnes Hammarstrand | 22:52
I praktiken innebär det här att ledningen behöver tydliggöra vilka roller man har i organisationen. Vem ansvarar för vad? Oerhört viktigt, och det bör dokumenteras att man har en tydlig ansvarsfördelning. Men det räcker inte att bara fördela ansvar – det har vi sett många tråkiga följder av, när någon får ett ansvar men inte kan utöva det i praktiken. Det är viktigt att den som har ett ansvar faktiskt kan arbeta med det. För att göra det krävs befogenheter, mandat, men också resurser och tid. Så det är en viktig del att man har personer som kan arbeta med det här.
Agnes Hammarstrand | 23:39
Det här bör också kompletteras med att ledningen antar en informationssäkerhetspolicy och vissa rutiner och processer på olika delar av verksamheten. Det kan vara allt från det enkla exemplet med en utbildningsrutin för alla nya i ledningen och all personal, till viktiga tekniska processer och processer för bakgrundskontroller av anställda, med mera. När man har rutinerna och processerna på plats behöver man se till att man följer upp och utvärderar dem regelbundet – till exempel genom att lägga in konkreta aktiviteter i ledningsgruppens eller styrelsens årshjul, så att man minst en gång per år ser över policyer, rutiner och processer. Det säger man faktiskt uttryckligen i lagen: minst en gång per år, och vid allvarligare incidenter eller händelser, bör man se över sina rutiner.
Agnes Hammarstrand | 24:46
Vad är det då man ska göra mer konkret? Nu har vi pratat om vad lagen innebär och att ledningen är ansvarig, men vad pratar vi egentligen om? Jo, det man ställer krav på är olika typer av säkerhetsåtgärder. Det är inte alltid lätt att förstå vad säkerhetsåtgärder kan vara – jag har själv funderat ganska mycket på det här genom min karriär. Vad är informationssäkerhet, och vad menar man egentligen med säkerhetsåtgärder?
Agnes Hammarstrand | 25:20
En sak jag lärt mig är att man behöver tänka att det kan vara olika typer av krav. Dels är det teknisk säkerhet, det vi kanske tänker på i första hand. Ni som är duktiga på teknik – det kan vara allt från kryptering till inloggningslösningar och brandväggar, allt det tekniska som är så centralt för att förebygga och minska effekterna av ett yttre angrepp. Fysisk säkerhet är naturligtvis också en del; det är kanske snarare där brandväggar hör hemma, men det går hand i hand.
Agnes Hammarstrand | 25:58
Men det man inte får glömma är att det här måste kompletteras med det man brukar kalla organisatoriska åtgärder. Det kan vara ett ord som är svårt att förstå i praktiken, men jag brukar tänka att det är allt annat. Det kan vara roller – vem gör vad – hur HR jobbar med att ny personal kanske ska säkerhetsklassas på visst sätt, vilka policyer man har, vad man lär sina anställda, hur man jobbar tillsammans. Alla de där lite mjukare värdena, om man får säga så, som är så otroligt viktiga. För man brukar säga att det inte finns någon kedja som är starkare än sin svagaste länk, och den svagaste länken kan ofta vara den mänskliga faktorn. Så det är viktigt att man också jobbar med människorna – vad de vet, vad de kan och vilka rutiner de ska följa när det gäller informationssäkerhet.
Agnes Hammarstrand | 27:00
När man gör bedömningarna över vilka åtgärder just ni ska göra är det viktigt att man har det som kallas ett allriskperspektiv. Man gör riskanalyser som baseras på era unika risker. Det är därför det inte finns svar på alla frågor – exakt vilken kryptering ska vi ha, exakt vilken teknisk lösning, exakt vad är tillåtet enligt NIS? Vissa av de svaren kanske ni aldrig får, för det måste utgå från er egen riskanalys, där ni gör bedömningar: Vad är lämpligt? Vad är proportionellt i relation till bolagets storlek? Vad har ni för verksamhet, hotbild och praktisk riskexponering?
Agnes Hammarstrand | 27:46
Massa olika faktorer. Ett allriskperspektiv, där man tar hänsyn till allt, ska avgöra vilka åtgärder ni behöver sätta in – ni som myndighet, ni som företag. Och det man framför allt också tar hänsyn till är: hur allvarlig kan en incident bli i praktiken?
Agnes Hammarstrand | 28:05
Därmed inte sagt att ni bara kan göra som ni vill – det hade ju varit enkelt: "vi hoftar lite här, värderar riskerna som väldigt låga, och så får vi ingen risk för tillsyn eller sanktioner." Nej, så funkar det naturligtvis inte. Det finns redan en massa standarder beroende på bransch, verksamhet och kanske storleken på verksamheten, som ni måste följa. I vissa branscher kan vi titta på vad som redan gäller idag enligt NIS, och på kompletterande lagstiftning – till exempel vilka krav GDPR ställer för skydd av data. Vi kan ibland snegla på DORA:s krav när det är viss regulatorisk verksamhet, och det finns redan idag massa föreskrifter från bland annat MSB och PTS och de olika tillsynsmyndigheterna som sätter detaljer.
Agnes Hammarstrand | 29:00
Utöver det har EU lanserat en genomförandeförordning som ställer detaljerade krav för vissa aktörer, inte minst inom digital sektor, som man också kan snegla på. Så det jag menar är att ni behöver göra en riskanalys och en bedömning av vilka krav ni behöver ställa, där ni minst uppfyller de minimikrav som finns för er sektor. Vad de kraven är kan skilja sig från igår till imorgon – det kommer att variera över tid, men ni behöver hänga med i de föreskrifter som finns för närvarande i er sektor, om det finns några, och annars kanske snegla på angränsande. Mycket av det här handlar om gott informationssäkerhetsarbete.
Agnes Hammarstrand | 29:45
För att hjälpa er på traven har man skrivit in vissa obligatoriska krav i lagen – sådant som alla måste ha bedömt och tagit hänsyn till, och det är de ni ser på min slide just nu. Till att börja med är det det övergripande: strategier för riskanalys och informationssäkerhet i de olika systemen. Alltså en process för att informationsklassa, bedöma respektive systems sårbarhet, vilka risker och vilken exponering vi har, och vad följderna kan bli för respektive system. Det behöver man ha en process för, annars blir det svårt att jobba med lagen.
Agnes Hammarstrand | 30:29
Alla behöver ha processer för att hantera incidenter – både att förebygga och att agera vid incidenter. Där ställer NIS detaljerade krav kring hur man ska rapportera: incidenter ska som huvudregel rapporteras inom 72 timmar, och i vissa fall ska man också informera individer. Det är de här kraven som gör att vi advokater ofta blir inblandade när en incident inträffar. Tänk på att ni behöver ha med någon som kan lagens krav när ni får en incident, för det är mycket att tänka på juridiskt. När man ska informera och rapportera handlar det inte bara om att göra det, utan om att göra det enligt vissa krav, och det kan vara viktigt hur man formulerar sig. Det är en viktig del i lagen.
Agnes Hammarstrand | 31:21
Sen behöver man jobba med kontinuitetshantering: hur säkerställer man att er verksamhet kan fungera även vid en allvarlig incident? Vad har ni för backuprutiner? Hur ser ni till att ni kan få verksamheten att fungera ändå? En jätteviktig del att man har analyserat det och har processer på plats.
Agnes Hammarstrand | 31:47
Sen kommer det jag redan nämnt, och som man tar upp i en kommande del i den här serien som Stratsys ordnar, nämligen säkerhet i leveranskedjan. Det handlar om att ställa krav på leverantörerna, både vad gäller avtal – och det är där vi advokater ofta kommer in, vissa saker måste stå i avtalen för att följa lagen, så man måste ha någon som är expert som tittar på avtalen – men det handlar också om att följa upp och utvärdera och göra audit på leverantörer. En oerhört viktig del i lagen, för man ska inte bara kunna säga "nej, men vi outsourcar det här, då gäller inte kraven oss" eller "vi låter någon annan hantera det". Kraven gäller fortsatt er; väljer ni att ta hjälp måste ni se till att de följer med i hela kedjan.
Agnes Hammarstrand | 32:40
En angränsande regel handlar om att man behöver ha säkerhet vid förvärv, utveckling och inköp av nätverks- och informationssystem – så när man köper till exempel programvara eller SaaS. Man behöver ha strategier och förfaranden för att bedöma effektiviteten i säkerhetsåtgärderna, det vill säga utvärdera kontinuerligt. Man behöver utbilda, det har vi redan varit inne på. Man behöver värdera hur vi jobbar med kryptering – behöver vi det, och när och hur?
Agnes Hammarstrand | 33:18
Personalsäkerhet är lite mer en HR-fråga: hur jobbar vi med ny personal, hur säkerställer vi att personalen inte utgör ett hot, när behöver vi göra bakgrundskontroller? Hur utvärderar vi personal för olika typer av projekt och system, och vem får komma in i vilka system? Det hänger samman med ett par andra punkter här – både lösningar för autentisering, som ni ser i den sista boxen, men också hur man jobbar med säkrade lösningar för kommunikation, som också är ett krav, och så åtkomstkontroll: vem får komma åt vad, vem får komma in i olika system, hur jobbar man med vem som får access och hur man förvaltar digitala tillgångar, var man skyddar företagshemligheter och nycklar.
Agnes Hammarstrand | 34:11
Så det ni ser på bildskärmen nu är de krav som lagen säger att alla ska beröra och ta hänsyn till. Sen kan exakt vilken krypteringsteknik som ska användas i ett visst system bedömas olika, beroende dels på vilken sektor det är, men också på er unika situation som verksamhet. Där behöver man göra en bedömning i det enskilda fallet.
Agnes Hammarstrand | 34:41
Som ni ser är det här olika typer av krav, och det tycker jag är ganska viktigt, för jag är tyvärr lite skeptisk när man tänker att något bara är en juridisk fråga, en IT-fråga eller en teknisk fråga. När det gäller den här lagen gäller det i allra högsta grad att ska man lyckas med sitt informationssäkerhetsarbete, då behöver man jobba tillsammans, med olika typer av roller. Ledningen och styrelsen ska styra över lagens krav, bestämma över ledningssystem, följa upp och utvärdera, fördela roller och befogenheter – allt det vi varit inne på.
Agnes Hammarstrand | 35:25
Utöver det behöver man ha någon som arbetar med informationssäkerhet och gör riskanalyserna och bedömningarna – mappar system, mappar tillgångar, bedömer hur vi ska skydda det. För att det ska vara praktiskt görbart behöver teknik och IT stötta upp med de tekniska lösningarna och processerna. Men det räcker inte där: det här är faktiskt också en HR- eller verksamhetsfråga i vissa delar, inte minst när det gäller krav som utbildning, personal och bakgrundskontroller.
Agnes Hammarstrand | 36:04
I vissa fall handlar det också om rollbeskrivningar, befattningar och processer, där HR eller verksamheten behöver vara inblandade. Och sist men inte minst är vissa delar en fråga om juridik. Jag säger att man behöver ta med jurist eller advokat i vissa delar, inte minst när det gäller att uppdatera avtal och ställa krav, men också i vissa fall för att bocka av att man har följt lagens krav och tolkat dem rätt. Det finns tyvärr redan en del förutfattade meningar och missförstånd kring NIS, precis som vanligt med ny lagstiftning, och då kan det vara bra att hålla någon i handen och titta på: vad säger egentligen kraven?
Agnes Hammarstrand | 36:54
På det temat tänkte jag visa en bild här om just leverantörsavtal, eftersom det är något som ligger mig varmt om hjärtat och som kommer att beröras mer i den insight som rör leverantörskedjan. Här är det viktigt att man faktiskt ser över sina avtal och har processer. Hur ingår man avtal? De som jobbar med avtal och inköp – har de utbildning, känner de till de här reglerna, har de processer, checklistor och mallar? Hur jobbar vi med detta? Det här kan verkligen slå ett slag för att samtidigt säkerställa att ni följer annan ny lagstiftning som kommer nu, till exempel Data Act, som börjar gälla, och AI Act, som också börjar gälla snart...
Agnes Hammarstrand | 37:46
...och delvis har börjat gälla i vissa delar. Så att man tar med sig all ny lagstiftning och tar höjd för den.
Agnes Hammarstrand | 37:54
Det finns mycket tips man kan ge, och jag ska inte föregå vår diskussion som vi ska ha snart. Men jag vill skicka med några medskick från min presentation och mitt perspektiv. Det första är såklart att man börjar med att undersöka hur man träffas av lagen – är det direkt eller indirekt – och att ha med ledningen, så centralt. Gör en nulägesanalys: var träffas vi, var träffas vi inte, och hur behöver vi applicera kraven? Att man stärker det informationssäkerhetsarbete man har och arbetar tillsammans kring de här kraven – juridik, teknik, verksamhet och infosäk.
Agnes Hammarstrand | 38:25
Vill ni veta mer får ni jättegärna lyssna på mig, följa mig på LinkedIn och följa våra webbinarier. Och självklart ställa frågor om ni undrar något – ni har mina kontaktuppgifter här i slutet. Tack så mycket för mig. Nu fortsätter vi diskussionen.
Therese Matton | 38:54
Tack så mycket för det, Agnes, mycket matnyttigt. Det har faktiskt kommit in en fråga i chatten som jag tänkte höra om du kan besvara. Du pratade om anmälningsplikt – vad gäller anmälningsplikten för koncerner? Är det dotterbolaget som gör det direkt, eller ska man gå via moderbolaget?
Agnes Hammarstrand | 39:01
Utgångspunkten i lagen är att varje bolag ska anmäla sig, så man får göra en egen bedömning: träffas vi? Det är huvudregeln. Sen får vi se om man i Sverige skulle föreslå några förenklingar. Men är man ett aktiebolag som träffas, då ska man anmäla sig – man kan alltså inte lita på att det där sköter koncernmamman.
Therese Matton | 39:31
Ja, det är bra att ha med sig. Vi ska prata lite mer senare, men just nu säger vi tack till dig, och välkomnar in Christopher Läns för att ge ett lite mer praktiskt perspektiv på det här. Tack!
Med Christopher Läns (GRC Lead, Stratsys)
Christopher Läns | 39:56
Hej, kul att vara här! Christopher Läns heter jag. Jag ska prata väldigt kort nu om informationssäkerhet i praktiken. Om det är något som är svårt så är det att införa något vi vet om i praktisk handling. Jag blir så glad när jag lyssnar på Agnes här nu, för hon kan verkligen levandegöra ett ämne och göra det roligt och engagerande. Jag tror att det är lite av nyckeln också till hur man ska föra in informationssäkerhet i sin organisation – försöka göra det med glädje och engagemang, tydligt och med mycket energi. Säkerhet är viktigt, och alla är överens om det.
Christopher Läns | 40:41
Vi blir påminda om det ganska ofta, inte minst när vi läser om olika IT-attacker, ransomware eller virus som drabbar våra konkurrenter, kunder eller leverantörer. Varenda gång vi hör och läser om detta känner vi: tur att det inte drabbade mig. Jag tror också att när vi ser detta och fokuserar på vårt informationssäkerhetsarbete, så vet vi att det är ett kvitto på att vi inte ska drabbas av någon attack. Så vi vet att det är viktigt.
Christopher Läns | 41:18
Så var ska vi börja? Det är väl där det är lite klurigare. Svaret kommer att skilja sig väldigt mycket åt beroende på hur vår organisation ser ut. Vi pratar storlek på organisationen, hur många affärsområden, förvaltningar eller funktioner företaget har, hur många chefsled det finns, och var ansvaret för informationssäkerheten ligger. Alla de här faktorerna gör väldigt stor skillnad i hur man bemöter frågan om var man ska börja – förutsättningarna är väldigt olika. Sen har vi den interna mognaden: hur ser organisationens tidigare arbete med processer, regelverk och ramverk ut? Har man jobbat med lagstiftning tidigare är man kanske väl framme och kan fortsätta jobba med det.
Christopher Läns | 42:11
Hur ser tidigare erfarenhet ut hos den som är ansvarig för informationssäkerheten? Har man nyss fått tjänsten och ska börja bygga upp kunskap, har man förflyttats åt sidan i företaget, eller har man rekryterats in som expert och jobbat flera år med ämnet? Det gör också väldigt stor skillnad. Så var ska vi börja? Ja, för att använda en juridisk term: det beror på. Det är faktiskt det svaret ni får från mig idag. Men jag vill ändå passa på att ge några allmänna, övergripande tips och tricks om vad som är bra att tänka på.
Christopher Läns | 42:50
För att konstatera att "hur gör alla andra?" är svårt att svara på. Innan jag går in på tips och tricks vill jag visa er varför det kan vara så svårt – och i svaren på det kan vi kanske också få tips om hur vår organisation har lett, eller haft svårt, med att få ett välfungerande informationssäkerhetsarbete. Först och främst är det komplexiteten med olika kompetenser. Agnes har också talat om det här, att det är olika områden som berörs av säkerhetsåtgärderna och informationssäkerhetsarbetet.
Christopher Läns | 43:33
Vi slänger oss med termen IT ganska slarvigt, tycker jag personligen, för IT i sig självt innehåller väldigt många olika kompetenser. Att säga att man jobbar med IT betyder inte att man kan alla de IT-tekniska säkerhetsåtgärder som de facto ska efterlevas, eller åtminstone ha kontroll över. Så har man informationssäkerhetsansvar med bakgrund inom IT, beror det såklart på var inom IT man har sina starka sidor.
Christopher Läns | 44:05
HR är expert på mänskligt beteende – hur vi ska skapa utbildning som våra anställda på riktigt fångas av. Bakgrundskontroll vid anställning är HR-expertis. Har vi en informationssäkerhetsansvarig som kommer från HR-fältet? Juridik – det Agnes pratade om, leverantörsavtal – vem i organisationen skriver dessa avtal, och vem formulerar hur vårt regel- och ramverk ska se ut?
Christopher Läns | 44:59
Så var informationssäkerhetsansvaret kommer ifrån, vilken kompetens man har, gör också att man är starkare och svagare inom vissa områden. En duktig informationssäkerhetsansvarig måste komplettera sina kunskaper med det man är svagare på – det gör en bra informationssäkerhetsansvarig. Men också ha respekt för att man måste veta om att "jag är starkare på det här fältet och svagare på det här". Därför är informationssäkerhet inte en IT-historia, vilket väldigt många försöker isolera den till.
Christopher Läns | 45:12
Ledningens engagemang saknas. Ja, det här har man sett leda till problem, och det ser jag ganska ofta: ledningen säger att det är väldigt viktigt, men tone from the top säger ju också att ledningen styr över företagets resurser, strategi och mål och följer upp på målen – det visar väldigt tydligt vad som är viktigt. Hur följer man upp informationssäkerhetsarbetet? Hur visar ledningen att det här är på riktigt och viktigt i vår organisation?
Christopher Läns | 45:48
Nedprioritering av resurser – ja, det säger sig självt. "Vi ska jobba med informationssäkerhet. Lasse, du får ta hand om det här." "Ja, men jag sitter ju redan 100 % med min tjänst." "Ja, men du kan väl göra det här vid sidan om?" Det är kanske inte det bästa receptet för framgång. Bristande kontinuitet i informationssäkerhetsarbetet har jag också sett flera gånger: man har en ansvarig som slutar, och därmed stannar arbetet tills en ny kommer på plats och måste byggas upp med kunskap, men också förstå det som gjorts tidigare.
Christopher Läns | 46:22
Så var ska vi börja? Konkreta tips. Nulägesanalys: om vi nu vet vad vi ska och bör göra är det viktigt att se vad vi är idag. Vad är arbetet hos oss idag? Där gör man klassiskt en gapanalys – vad är vårt arbete i förhållande till dit vi ska? Ett väldigt enkelt tips från början. Utbildning och informationsinhämtning: ni som sitter och tittar på det här är ju fantastiska, ni är intresserade och väldigt framme i att söka ny kunskap, inspiration och idéer. Det finns också väldigt bra hjälp – MSB har jättemycket metodstöd och hjälp på bland annat informationssäkerhet.se. Men beroende på resurser och hur mycket man har i sin organisation finns även konsulthjälp på det här området.
Christopher Läns | 47:17
Så, tre tips – alla goda ting är tre. Det första är dokumentation. Det är superviktigt att ha en struktur för dokumentationen. Jag kommer så väl ihåg när jag satt på ett företag och vi skrev dokument för att hantera dokumenten – ett styrande dokument för det styrande dokumentet. Men de facto: att ha en struktur för dokumentationen är jätteviktigt, i synnerhet om man har kontinuitet och en ny person ska komma in i arbetet.
Christopher Läns | 47:57
Årshjulet – det gamla klassiska årshjulet, jag älskar årshjulet. Vad ska göras, när ska det göras och vem ska göra det? Enkelt, varje år rullar det, du kan tillföra aktiviteter och ta bort aktiviteter. I love it, årshjulet ska alltid vara med. Och sen en ansvarig – superviktigt, en ansvarig ska finnas, men den ansvariga ska inte vara isolerad, för då riskerar vi att arbetet avstannar. Vi riskerar kompetenstapp, men också att det blir tungt att föra ut budskapet i organisationen. Man behöver ett bollplank, stöttning, moralisk support – flera som jobbar tillsammans. Särskilt med tanke på de olika kompetensområdena: varför inte samverka och utse ambassadörer på de olika funktionerna? Du har en ansvarig som koordinerar en grupp tillsammans.
Christopher Läns | 48:53
Slutligen – det här gick rasande fort, sorry. Tänk långsiktigt, en klyscha igen: resan är målet. Informationssäkerhet är ingen engångshändelse, den är här för att stanna, och så ska man bemöta det och jobba med det. Vi ska bygga något som ska hålla väldigt länge. Börja där vi står, fokusera på de största riskerna. Det handlar om att prioritera.
Christopher Läns | 49:26
Vad ska vi göra först? Vi tar det som är absolut mest akut, prioriterar det viktigaste och går sedan vidare. Tänk på att det här inte behöver vara perfekt – vi kommer att slipa och göra det bättre år efter år. Fokusera på de största riskerna, ta dem först, involvera och motivera, var glad och positiv. Gå ut med engagemang, gör något roligt av det. Människor är människor, och man vill helst vara med människor som får en att känna sig bra. Så även om du kommer med det här lite tråkiga ämnet: var glad, var positiv och se till att du får med dig människorna. Det är en framgångsfaktor.
Christopher Läns | 50:06
Slutligen, fira framgångar. Var glad och fira framgångar – det är väl det vi människor kommer ihåg bäst och som får oss att vara motiverade och fortsätta. Så det är mina sista tips och tricks. Tack för mig, och jag bjuder in mina kollegor Agnes och Therese här i studion igen.
Med Agnes Hammarstrand (Delphi), Christopher Läns (Stratsys) och Therese Matton (Stratsys)
Therese Matton | 50:31
Fantastiskt, massa bra tips verkligen! Tack, Christopher. Jag tror vi alla har saker att hugga tag i direkt när vi kommer tillbaka. Men innan vi avslutar har jag några frågor till er båda som har kommit in.
Therese Matton | 50:40
En del tänkte jag höra med dig, Agnes: om man är ISO-certifierad, räcker det? Kan man luta sig tillbaka nu när NIS2 kommer?
Agnes Hammarstrand | 50:48
Ja, det är en väldigt vanlig fråga som vi ofta får, och svaret är nej. Men däremot har man kommit oerhört långt om man har en ISO-certifiering inom informationssäkerhet och ett ledningssystem på plats. Det är viktigt att ändå gå igenom lagens krav, för en del saker täcks inte av ISO. Den stora, gedigna hemläxan med ISO-certifieringen har man gjort, och den har man oerhört stor nytta av, men det kommer vara saker som inte täcks och som man behöver gå igenom – bland annat avtalskrav och hur vissa policyer är formulerade, lite beroende på verksamhet och typ. Jag har hört en del diskutera att man kanske klarat 80 % av kraven – man har kommit en bra bit på väg.
Christopher Läns | 51:42
Nej, jag tänkte mer inflika det här med att resan är målet – man ska, och kan, inte vara perfekt första gången, utan det här är återkommande. Har man jobbat med ledningssystem tidigare tror jag också att man har en helt annan plattform att bygga vidare på.
Therese Matton | 52:04
Ja, helt klart. En annan del du var inne lite på tidigare, Agnes: det här om man träffas indirekt. Det kan vara lite svårt att veta när man gör det och inte, vad man ska följa. Har du något råd?
Agnes Hammarstrand | 52:20
Jag skulle säga att det kommer visa sig ganska tydligt i ett företags förmåga att generera intäkter om man måste efterleva detta – för annars blir man exkluderad direkt. Vad gör vi bäst på ett företag om vi inte ser till att vi kan generera intäkter? Så jag tror att om vi träffas indirekt kommer vi att få reda på det, via potentiella och befintliga kunder.
Therese Matton | 52:47
Att inte förlora affärer. Hur ser du på det, Agnes – kan man börja förbereda sig om man blir indirekt påverkad redan nu?
Agnes Hammarstrand | 52:55
Ja, det tycker jag absolut. Vet ni att ni levererar något som har bäring på informationssäkerhet, ja, då kommer ni att få krav från kunder om de träffas, om ni levererar till de sektorerna. Så jag tycker det kan vara bra att göra en liten utredning och kolla på det redan nu, så att man vet "jo, det här kommer att träffa oss", och då skärpa upp och gå igenom vilka krav man behöver få på plats. Sen är det, precis som du säger, så att man säkert märker det mer också när man får krav från kunder. Det kan vara bra att vara beredd där det går. Idag blir det väldigt mycket skrämsel när man läser om incidenter, hur mycket som händer. Man vill inte stå där nästa gång, man vill inte vara den som blir drabbad. Det finns vissa varumärken som inte är så starka för närvarande, utan att nämna några namn.
Therese Matton | 53:37
Nej, men sånt här kan ju bli väldigt mediebevakat också, såklart, när det händer.
Therese Matton | 53:47
Det här är ju inte första gången vi inför en ny lagstiftning utifrån ett EU-direktiv – GDPR är ganska nära inpå. Finns det några lärdomar man kan dra från när det infördes, Agnes?
Agnes Hammarstrand | 53:55
Ja, en sak jag verkligen vill skicka med: när GDPR infördes var det väldigt många som tog hjälp av konsultbyråer och advokatbyråer och gjorde stora projekt, där man inventerade och betalade någon för att inventera vad lagens krav var, och kanske skrev en fin rapport på det. Jag kom ofta in när man redan hade lagt kanske en miljon eller jättemycket pengar på att någon gjorde det. Och det är ju vansinne – anlita experter som vet vad reglerna säger så ni har koll på det, men betala inte för massa pappersprodukter över vad ni ska göra. Jag vill verkligen slå ett slag för att börja göra arbetet. Det är, lite som du var inne på, en ständigt pågående resa. Det finns massa saker som är väldigt konkreta och som ni måste ha på plats – börja med dem.
Agnes Hammarstrand | 54:49
Lägg inte massa tid och energi på att utreda vad ni ska göra, utan börja jobba successivt och bocka av. Jag brukar göra så att man sätter sig ner i en workshop: okej, här är lagens krav, vad ska vi göra, vad har vi gjort, vad har vi kvar? Och så börjar man arbeta med det, istället för att göra de här stora gapanalyserna med stora konsultverksamheter som kanske bara blir en pappersprodukt – och så har man inte ens börjat förändra något i verkligheten. Det är verkligen mitt bästa tips, att undvika det. Det var så vanligt när GDPR började, och jättetråkigt, för man lägger pengar på helt fel saker, och då kommer man inte igång med själva jobbet.
Therese Matton | 55:24
Nej, det är bra. Något du tänker på där, Christopher?
Christopher Läns | 55:30
Jag tänker att vilket bolag eller organisation man är ser väldigt olika ut vad gäller startpunkt. Om man pratar om att få in ett regelverk och man har tydliga processer i bolaget, så är det lättare att jacka in på dem än om man står helt från början. Och har bolaget vuxit snabbt på kort tid, kanske man ligger efter med mycket internstyrning och processer.
Therese Matton | 55:55
Sen tänkte jag faktiskt fråga dig, Agnes: tror du att den här efterlevnaden – hur lång tid tror du det kommer att ta, rent praxis, att få se hur NIS2 ska efterlevas? Eller är det en svår fråga?
Agnes Hammarstrand | 56:11
I vissa delar vet vi det redan idag. Det är många verksamheter som redan träffas av NIS idag, där det finns tydliga krav på vad man ska göra och inte göra – många krav står i lagen, och vi har fått genomförande från EU. Så jag tycker att mycket finns på plats idag. Men det kommer alltid vara massa detaljer som inte står i lag eller föreskrifter – där ska man utgå från sin riskanalys. Jag vet inte om det var helt svar på din fråga, men jag tycker i alla fall att vi vet hur man ska jobba med lagen. Sen exakt detaljer vet man kanske inte alltid, men det får man ta.
Therese Matton | 56:34
Så framåt, bra! Med det tänkte jag tacka er så jättemycket för att ni varit här och delat med er av er expertis. Många tankar har jag fått, och praktiska saker att ta vidare direkt. Så stort tack till er båda, tack så mycket.
Therese Matton | 57:01
Och med det säger vi tack härifrån också. Jag hoppas att ni, precis som jag, fått fler saker att ta med hem. Sen hoppas jag att vi alla hörs igen den 6 november, för del två. Tack för oss!
Partner och advokat, Delphi
Agnes är en av Sveriges ledande experter inom IT- och techjuridik med särskild kompetens inom GDPR, informationssäkerhet, AI och NIS2. Hon är advokat på Delphi och en flitigt anlitad föreläsare inom digitalisering och tech-juridik.
GRC Lead, Stratsys
Christopher är GRC-expert på Stratsys med lång erfarenhet inom riskhantering, informationssäkerhet och compliance. Han har haft ledande roller på bland annat Advisense och Alektum Group och bidrar med både djup kompetens och kundperspektiv.
Head of Platform & Product Operations, Stratsys
Under sina år på Stratsys har Therese i olika roller stöttat våra kunder. Idag jobbar hon med att på bästa sätt få ut Stratsys produkter till kunderna och hur de ständigt kan förbättras.
Hur omsätter man NIS2-kraven i organisationens vardag? I den andra delen av NIS2 Insights får du konkreta råd för att bygga hållbara processer och skapa en tydlig styrning av informations- och cybersäkerheten.
En av de största utmaningarna med NIS2 är att stärka säkerheten i leverantörskedjan. I den tredje delen av NIS2 Insights får du vägledning i hur du kartlägger, prioriterar och hanterar tredjepartsrisker.
I den här kostnadsfria webinarserien samlar vi ledande experter som gör NIS2 konkret och praktiskt - med fokus på verkliga exempel, beprövade arbetssätt och strategier som fungerar i vardagen.
