Det nya NIS2-direktivet innebär en ny spelplan för cybersäkerhet och risk. Struktur, ledning och systemstöd blir avgörande för att framtidssäkra verksamheten. Här presenterar Stratsys expert Per Gustavsson fem steg som gör din organisation redo för lagstiftningen.
I juli 2023 trädde EU:s NIS2-direktiv i kraft. Och direktivet kommer att implementeras i svensk lag i form av den nya cybersäkerhetslagen, troligtvis vid slutet av 2025. Direktivet är ett svar på en snabbt föränderlig hotbild där cyberattacker inte längre bara ett IT-problem. Det har blivit ett affärskritiskt hot med potentiellt samhällspåverkande konsekvenser.
NIS2 – en strategisk fråga för ledningen
NIS2 skiljer sig från sin föregångare, NIS, på flera avgörande punkter. Med krav på bland annat ledningsansvar och snabb incidentberedskap är efterlevnad till den nya lagstiftningen en affärskritisk fråga. Så hur skiljer den sig egentligen från tidigare lagstiftning?
Per Gustavsson är CISO på Stratsys och specialist inom informationssäkerhet:
- NIS2 har ett betydligt bredare tillämpningsområde än NIS. Direktivet omfattar både samhällsviktiga och viktiga aktörer inom allt från energi, vatten, transport och sjukvård till digital infrastruktur och offentlig sektor.
- En annan skillnad är att många privata företag kommer att omfattas. Kriterierna är inte längre bara baserade verksamhetsområde utan även storlek. Ofta handlar det om en relevant sektor, minst 50 anställda och en omsättning på över 10 miljoner euro.
Per menar att detta gör NIS2 till en strategisk fråga. Inom stora organisationer kan cybersäkerhet inte längre ses som fråga för IT-avdelningen, utan som ett strategiskt ansvar för hela ledningen. De företag som inte agerar riskerar inte bara tillsynsärenden och sanktionsavgifter. De riskerar också förlorat förtroende från kunder, investerare och samhället i stort.
Per Gustavsson, CISO på Stratsys
Roadmap för efterlevnad
Även om många organisationer redan har goda säkerhetsrutiner på plats ställer NIS2 nya krav. Enkelt uttryckt höjer NIS2 ribbar för informationssäkerhetsarbetet. Direktivet kräver inte bara tekniska skyddsåtgärder – det kräver dokumenterad styrning, tydlig ansvarsfördelning och spårbar rapportering. Om din organisation saknar en genomarbetad plan finns det en betydande risk att missa avgörande delar av direktivets krav.
Enligt Per är en tydlig roadmap är affärskritisk för att möta kraven i den nya lagstiftningen. Han pekar på flera orsaker till detta:
- Skärpta krav på ledningsansvar. Styrelse och högsta ledning förväntas vara insatta i riskerna och kunna styrka efterlevnad. Okunskap är inte längre en ursäkt.
- Incidentrapportering inom 24 timmar. Organisationen måste ha processer för att identifiera, analysera och rapportera incidenter på ett snabbt och korrekt sätt.
- Leverantörskedjan inkluderas. Kraven omfattar inte bara den egna organisationen, utan leverantörer och samarbetspartners.
- Risk för sanktionsavgifter. EU har öppnat för höga bötesbelopp – upp till 10 miljoner euro eller 2% av den globala omsättningen vid allvarlig bristande efterlevnad.
Frågan är med andra ord inte om det är en god idé att anpassa sig. Det är en fråga om hur snabbt och strukturerat som det kan göras.
Fem steg för efterlevnad
Ett omfattande regelverk som NIS2 ställer stora krav på organisationen och dess förmåga att arbeta på ett effektivt sätt. Hur ska då detta gå till?
– Det handlar inte minst om att hitta ett iterativt och systematiskt sätt att genomföra åtgärderna på, säger Per. Åtgärder omfattar allt från kartläggning, gapanalys och policys, till att förankra i ledningen och fördela ansvar. För att inte tala om kontinuerlig uppföljning och förbättring.
Per beskriver de viktigaste stegen för din roadmap – baserad på etablerad GRC-logik men anpassad för NIS2:
- Kartlägg tillgångar och system
Identifiera vilka system, tjänster och informationsresurser som är mest kritiska. Dokumentationen måste visa på en tydlig förståelse för vilka tillgångar som behöver skyddas – och varför. Involvera verksamheten tidigt i processen – de vet vad som verkligen är affärskritiskt. - Genomför riskanalys och gapanalys
Identifiera var ni redan uppfyller kraven och var det finns brister. NIS2 listar tio specifika säkerhetsåtgärder. En väl genomförd gap-analys ger en tydlig prioriteringslista: vad som behöver uppdateras, vad som behöver implementeras och var det krävs nya resurser. - Uppdatera policyer och processer
Uppdatera policyer för till exempel informationssäkerhet, incidenthantering och leverantörskontroller. Tydliggör rapporteringsvägar vid incidenter. Dokumentera rutiner för kontroll, uppföljning och ansvarsfördelning. Kom ihåg att det inte bara handlar om att ha dokument, utan leva efter dem. - Förankra i ledningen och fördela ansvar
Ledningen har ett explicit ansvar. Styrelse, vd, CISO, CIO – alla behöver förstå sin roll i det proaktiva cybersäkerhetsarbetet. Säkerställ vem som ansvarar för vad – både strategiskt och operativt. Se även till att ledningen får regelbunden uppföljning och riskrapportering. - Inför kontinuerlig uppföljning och förbättring
NIS2 är en löpande process. Därför behöver ni etablera mekanismer för kontinuerlig uppföljning och förbättring. Det kan handla om dashboards för ledningen, regelbunden översyn av policys, interna revisioner eller dokumentation av åtgärder, avvikelser och förbättringsförslag.
Plattformens roll för effektiv styrning
Excellistor, mejltrådar och ad hoc-insatser blir snabbt fungerar inte i en stor organisation. Därför blir ett starkt systemstöd är inte bara ett verktyg utan en strategisk möjliggörare.
En modern GRC-plattform möjliggör enligt Per bland annat att:
- Samla all dokumentation på ett ställe.
- Hantera risk- och gap-analyser på ett strukturerat sätt.
- Automatisera påminnelser, rapportering och uppföljning
- Visualisera status för ledning och tillsyn
- Förenkla intern samverkan mellan CISO, IT, risk, verksamhet och ledning.
Tips!
Stratsys GRC-plattform ger en komplett struktur för att möta NIS2 – när det gäller allt från riskbedömning och styrning till rapportering och uppföljning. Allt på ett ställe, anpassat för din organisation.
Framtidssäkra din organisation – idag
Att bygga en roadmap för NIS2 inte bara ett sätt att klara lagkraven. Det är en investering i långsiktig hållbarhet, trygghet och trovärdighet, enligt Per:
- De organisationer som redan idag kartlägger sina tillgångar, sätter rätt struktur och använder systemstöd som förenklar efterlevnaden kommer att stå starkare. Inte bara för att klara tillsyn, utan för att möta framtidens utmaningar.