För många företag innebär NIS2 ett stressmoment. Kraven ökar, men resurserna ökar inte i samma takt. För att lyckas krävs inte fler timmar på dygnet, säger Stratsys säkerhetsexpert Per Gustavsson. Nyckeln är smartare prioriteringar, bättre verktyg och ett tydligt fokus.
EU-direktivet NIS2 införlivas i svensk lagstiftning i form av cybersäkerhetslagen – troligtvis i slutet av 2025. Direktivet ställer nya och tuffare krav på styrning, ansvar och dokumentation. Dessutom tar informationssäkerhetsarbetet klivet in i ledningsrummen.
För många CISO:s är dock resurserna redan ansträngda. Detta beror inte minst på en fragmenterad IT-miljö, präglad av många beroenden och oklara mandat mellan funktioner. Ofta kan det vara svårt att kunna svara på hur mycket resurser som krävs för att klara kraven. Samtidigt finns det mycket att göra för dig som lyckas i dina prioriteringar.
De främsta utmaningarna kopplat till NIS2
Enligt Stratsys säkerhetsexpert och CISO Per Gustavsson är det sällan den enskilda kontrollen som är utmaningen för företag, utan den komplexitet som följer med en stor organisation. Utmaningarna handlar om allt från en fragmenterad systemmiljö till bristande kunskap.
Per lyfter särskilt fram följande utmaningar kopplat till NIS2:
- Fragmenterad IT- och systemmiljö. Stora företag sitter ofta på ett lapptäcke av tekniska lösningar – gamla affärssystem, molntjänster, tredjepartslösningar. Att skapa överblick blir tidskrävande och resurskrävande.
- Otydligt ansvar i organisationen. Det saknas ofta tydlighet kring vem som faktiskt äger informationssäkerhetsfrågan. Det är inte ovanligt att både IT, verksamhet och HR förutsätter att ansvaret vilar på någon annan. CISO:n blir alltför ofta ensam budbärare och den som behöver göra jobbet.
- Okunskap och låg förankring. På ledningsnivå är det ofta få som kan förklara vad NIS2 innebär i praktiken. Fram tills nu är det dessutom ännu färre som ser hur direktivet påverkar verksamheten ekonomiskt, juridiskt eller strategiskt. Utan rätt förståelse blir det svårt att få de resurser som krävs.
- Begränsad krisberedskap. Många organisationer har beredskap för driftsincidenter. Däremot saknar de förmågan att vrida upp organisationen vid en kris inom cybersäkerhet. Flera funktioner behöver kunna kliva fram i ett sådant scenario. Något som kräver träning och förberedelse.
Per Gustavsson, CISO på Stratsys
Prioritera med begränsade resurser
I realiteten går det inte att åstadkomma allt. Och det är inte heller en önskvärd strategi, enligt Per. Med de högre krav som NIS2 ställer på din organisation ställs förmågan att prioritera på sin spets. För att lyckas med NIS2 utan att bränna ut organisationen gäller det att välja smart – och fokusera på det som ger mest effekt.
Vad är då det viktigaste att prioritera på när resurserna tryter? Enligt Per handlar det framför allt om fyra saker:
- Börja med det som är mest kritiskt
Vilka system är affärskritiska? Vad måste fungera för att organisationen ska kunna leverera sitt uppdrag eller fortsätta generera intäkter? Utgå från kärnan. - Identifiera de största riskerna
Alla risker är inte lika. Använd 80/20-principen – en liten del av riskerna står ofta för en stor del av konsekvensbilden. Se till att hantera dessa först. - Minimera manuella arbetsmoment
Manuella moment tar inte bara stora resurser i anspråk, det är också vanliga källor till fel. Identifiera därför tidigt var och hur ni kan automatisera organisationens flöden. Det kan till exempel gälla incidentrapportering, påminnelser och andra rutiner. - Håll fast vid verksamhetens syfte
NIS2-arbetet får aldrig bli ett självändamål. Det måste bottna i frågan vad det är vi finns till för – och vad som krävs för att vi ska kunna fortsätta leverera det. Den röda tråden från affärsnytta till cybersäkerhet måste hållas levande.
Automatisera där det räknas
Ett modernt systemstöd inom GRC gör det inte bara lättare att hantera krav. Det blir också lättare att åstadkomma mer med mindre resurser. Hur ska man då se på den roll som ett systemstöd spelar i arbetet? Enligt Per bör ett systemstöd bidra till att flytta fokus i arbetet:
- Om vi zoomar ut lite är en bra tumregel att det systemstöd bidra till att förflytta tonvikten i arbetet – från reaktiv till proaktiv säkerhetsstyrning, säger Per.
Det bra system bör göra det möjligt att:
- Få överblick över risker och tillgångar
- Visualisera samband mellan hot, system och processer.
- Automatisera incidenthantering och rapportering.
- Arbeta strukturerat med riskmatriser och gapanalyser.
- Spåra förändringar, ansvar och åtgärder.
- Skapa färdiga rapporter till ledning, revisorer eller tillsyn.
Per lyfter även fram frågan om AI-funktionalitet:
- Ett modernt systemstöd bör även erbjuda AI-stöd. Det kan till exempel handla om förslag på riskreducerande åtgärder eller att analysera trender. AI kan sammanfatta komplexa rapporter och insamlad data från olika enheter, vilket underlättar analys och uppföljning. Det kan också ge stöd för avvikelsehantering för att bidra till en mer strukturerad hantering.
Ledningsperspektiv – från teknik till affär
Ett av de största hindren för ett lyckat arbete är bristen på ledningsförankring. Det är något som är nödvändigt för att leva upp till NIS2. För att lyckas måste ni lyfta diskussionen – från teknik till affär, framhåller Per:
- Ett gott råd är att tänka affärsrisk istället för teknikrisk. Om ledningen inte förstår hur en sårbarhet i ett underhållssystem kan slå ut intäktsflöden – då är det ditt jobb att förmedla det. Visa konsekvenser i affärstermer, i form av förlorade kunder, brutna kontrakt, sanktionsavgifter och tappat förtroende.
- Tänk också på hur budskapet framförs. Använd rätt visualisering. Undvik långa PDF:er. Skapa i stället tydliga dashboards för ledningsgruppen. En enkel ”röd-gul-grön”-översikt över riskstatus, åtgärdsgrad och ansvar ger snabb förståelse och beslutsstöd. Visa också hur säkerhet stödjer affären. NIS2 är inte bara ett regelverk, utan ett sätt att bygga affärsresiliens. Organisationer som klarar kriser står starkare. Men det kräver att insikten omsätts till handlag och att säkerhet kommer högst upp på agendan.
Lästips: Bygg en organisation och kultur kopplat till informationssäkerhet
Priset för att inte agera
Att skjuta på NIS2-arbetet kan kännas frestande när resurserna är knappa. Men kostnaden för att vänta är ofta långt större än den initiala investeringen. Utan tydliga rutiner för riskhantering, incidentrapportering och leverantörsgranskning ökar sårbarheten, både tekniskt och affärsmässigt.
- Det handlar inte bara om risken för sanktionsavgifter från tillsynsmyndigheten. Konsekvenserna kan också innebära affärsstörningar, förlorade kundrelationer, sänkt förtroende från styrelse och ägare. Och i värsta fall kan det leda till långsiktig skada på varumärket. I en tid där cybersäkerhet blivit en ledningsfråga är inaktivitet inte längre ett neutralt alternativ. Det är en strategisk risk, säger Per.
Navigera smart, led starkt
Att lyckas med NIS2 handlar därför inte om att ha obegränsade resurser. Det handlar om att fokusera där det gör störst skillnad. Du behöver leverera förtroende, struktur och styrning. Och inte minst om att använda verktyg som hjälper dig ta kontroll.
- CISO:ns viktigaste uppgift framåt? Att prioritera smart, automatisera rätt och visa vägen för hela organisationen, avslutar Per.
Vill du läsa mer om hur du skapar en roadmap för NIS2? Då rekommenderar vi den här artikeln: Gör din organisation redo för NIS2 – en praktisk roadmap