Hur kan du stärka säkerheten i din leveranskedja? Lagstiftning från EU i form av NIS2 och DORA ställer frågan på sin spets. För att få svar vänder vi oss Stratsys GRC-expert Max Kollberg och cybersäkerhetsexperten Mina Nadjafi, grundare till Intil. De föreslår ett holistiskt angreppssätt där arbetet automatiseras.
Frågan om cybersäkerhet är högre upp på agendan än någonsin tidigare inom både offentlig sektor och bland företag, oavsett storlek. Det vittnar inte minst den skärpta lagstiftningen från EU om i form NIS2 och DORA. Den är ett svar på de utmaningar och hot som stora delar av samhället står inför.
NIS2 – Network and Information Security Directive 2
NIS2 är den nya EU-lagstiftningen för cybersäkerhet. Förkortningen står för Network and Information Security Directive 2 och är en uppdatering och utökning av det tidigare NIS-direktivet från 2016. Syftet med NIS2 är att höja cybersäkerhetsnivån inom EU och skydda samhällsviktig infrastruktur mot digitala hot.
En viktig skillnad jämfört med det första NIS-direktivet är att fler sektorer och företag omfattas – främst medelstora och stora företag. Företag som omfattas måste vidta tekniska och organisatoriska åtgärder och det införs en tidsgräns på 24 timmar för initial rapportering om IT-incidenter. Förutom detta ska en incidentanmälan lämnas in inom 72 timmar och en slutrapport efter en månad. Dessutom införs sanktioner, inklusive höga böter, för de som brister i sin efterlevnad. Ledningen är uttryckligen ansvarig för efterlevnaden av NIS2, vilket gör cybersäkerhet till en strategisk och juridisk fråga på högsta nivå.
I Sverige förväntas den nya cybersäkerhetslagen träda i kraft tidigast under 2025. Under övergångsperioden gäller den nuvarande NIS-lagen, men den ska tolkas i ljuset av NIS2-direktivet. Det betyder att företag bör förbereda sig på de nya kraven, även om de ännu inte är fullt implementerade.
DORA – Digital Operational Resilience Act
DORA är en EU-förordning som syftar till att stärka den digitala motståndskraften inom finanssektorn. Den trädde i kraft den 16 januari 2023 och börjar tillämpas den 17 januari 2025.
Införandet av DORA ska säkerställa att finansiella aktörer ska kunna hantera, motstå och återhämta sig från IT-incidenter. Det gäller oavsett om det är fråga om regelrätta cyberattacker, tekniska fel eller tredjepartsproblem. Nästan alla finansiella aktörer omfattas av DORA – inklusive banker, betalningsinstitut, fintech-bolag, försäkringsbolag, pensionsfonder, och andra finansiella aktörer.
Kraven kopplade till DORA inkluderar robusta system och processer, rapportering, regelbundna tester av digital motståndskraft, tydlig styrning och riskhantering samt kris- och återhämtningsplaner.
NIS2 och DORA fyller ett tydligt behov
Att cybersäkerhet är så politiskt prioriterat har sin förklaring. Cyberbrott ökar dramatiskt mot alla storlekar och typer av organisationer. Inte minst gäller det cyberattacker via leverantörer. Konsekvenserna blir extra allvarliga om vi beaktar hur beroende alla delar av samhället har blivit av digitala system.
Max Kollberg är GRC Lead på Stratsys. Enligt honom fyller lagstiftning som NIS2 ett tydligt behov:
- Det senaste decenniet kan vi se att cyberbrott ökar dramatiskt. Det blottlägger sårbarheter hos företag och organisationer i alla storlekar. Många saknar resurser eller ramverk för att faktiskt hantera de växande hoten. Och här fyller NIS2 en tydlig lucka genom att införa en enhetlig standard.
Max pekar på ett antal skäl till att rikta strålkastarljuset mot frågan om cybersäkerhet:
- Digitala leveranskedjor står för nästan två tredjedelar av organisationers intäkter.
- 45% av alla organisationer i världen har drabbats av attacker mot digitala leveranskedjor under 2025.
- Mindre än en tredjedel av organisationer prioriterar investeringar i säkra, uppkopplade ekosystem för sin leveranskedja.
Max Kollberg, GRC Lead, Stratsys
Tre typer av attacker mot leveranskedjan
Vilka är då de vanligaste attackmetoderna mot leveranskedjan och hur har hotbilden förändrats? Vilka hot är det som lagstiftningar som NIS2 och DORA syftar till att möta?
Mina Nadjafi är en av grundarna till cybersäkerhetsföretaget Intil som fokuserar på externa hot. Företaget har tillsammans med Stratsys genomfört ett projekt på uppdrag av MSB, Myndigheten för samhällsskydd och beredskap. Utifrån ett holistiskt förhållningssätt har man bedömt både interna och externa hot.
- Vi ser en uppsjö av olika cyberhot och angreppsmetoder. Det handlar om allt från malware, DoS- och DDoS-attacker, till phishing. Och givetvis påverkas även leveranskedjan av attacker. Vi ser också att det blir allt vanligare att man tar sig in i systemet via bakvägen, att man så att säga använder badrumsfönstret istället för huvudentrén för att få långsiktig tillgång till systemen, säger Nadja.
Cybersäkerhetshoten kommer från stater, cyberbrottslingar och hacktivister. Attackerna kan enligt Nadja delas upp i tre huvudtyper:
- Attacker mot programvara. Angrepp på källkoden i en leverantörs programvara, där angriparen lägger in skadlig kod i en betrodd applikation. Det kan också inträffa när en uppdateringsserver komprometteras, då angriparen ersätter ett legitimt bibliotek med sitt eget.
- Attacker mot hårdvara. Kompromettering av fysiska enheter som USB-minnen, telefoner, surfplattor och till och med tangentbord, för att på detta sätt skapa bakdörrar i hårdvaran. Avsikten är att på ett tidigt skede infektera enheterna och sedan skapa en gateaway till ett större nätverkssystem.
- Firmware-attacker. Skadlig kod i startkoden, där den skadliga koden rusar efter att datorn startats upp och utsätter hela systemet för risk. Attackerna är många gånger snabba, farliga och går ofta oupptäckta.
Mina Nadjafi, Co-founder, Intil
Ta dig an säkerhetsarbetet i leveranskedjan
Som aktör har du förhoppningsvis redan en grundläggande uppfattning av vilka regelverk som du träffas av, oavsett om det är NIS2 eller DORA. Det är dock hur som helst en bra startpunkt för arbetet med säkerhet i leveranskedjan:
- Kartlägg lagstiftningen. Vilken eller vilka lagstiftningar träffas du av?
- Genomför en gapanalys. Vilka processer och resurser finns på plats och vad saknas?
- Skapa en åtgärdsplan. Vad är det som behöver göras och vad ska prioriteras?
- Samverkansbehov. Säkerställ hur avdelningarna inom organisationen ska arbeta tillsammans för att uppnå målen.
Skärpta krav kopplade till NIS2 och DORA
Konsekvenserna för organisationer som saknar insyn och kontroll kan bli stora. Den nya lagstiftningen i form av NIS2 och DORA skärper kraven på cybersäkerhet, riskhantering och ansvar i hela leveranskedjan. Det gäller särskilt frågor som rör ansvarsfördelning, riskbedömning och efterlevnad.
Hur bör du då tänka som arbetar med informationssäkerhet, risk, compliance eller leverantörshantering? Är självskattning av leverantören tillräcklig för att skapa säkra leveranskedjor?
Det korta svaret är att det krävs mer, enligt Max:
- Det krävs ett holistiskt angreppssätt där både externa sårbarheter och risker utvärderas oberoende, samtidigt som interna processer och strukturer granskas och följs upp genom riktade frågor.
Förhållningssättet inbegriper flera olika delar. Max beskriver tre delar som alla samverkar för att arbeta mer proaktivt med frågorna:
- Det handlar om överblick över faktiska risker i leveranskedjan, benchmarking och analys samt effektiva och tidsbesparande lösningar. På så sätt kan man kombinera självskattning som leverantören lämnat in med en analys av sårbarheter. Syftet är att möjliggöra en proaktiv hantering cybersäkerhetsrisker.
Nyckeln till en effektiv due diligence-process
En effektiv due diligence-process bidrar till att skapa kontinuitet och regelbundenhet i arbetet. Genom att kombinera olika verktyg går det att skala upp arbetet, enligt Nadja:
- Genom att arbeta med både mätningar och självskattningar går det att hantera en större mängd leverantörer. På så sätt går det att prioritera resurserna och följa upp leverantörer som får för låga betyg. Det blir ett sätt att planera arbetet på ett mer effektivt sätt i organisationen.
Arbetet går att likna vid en tratt, där initial screening och riskanalys möjliggör att sedan gå vidare med ytterligare åtgärder när avvikelser identifieras – både självskattning och inspektioner. En nyckel är möjligheten att automatisera arbetet, menar Max:
- För att kunna arbeta proaktivt med cyberrisker och samtidigt säkra efterlevnaden kopplat till NIS2 och DORA är det klokt att automatisera processerna, särskilt due diligence av leverantörer. Det gäller nya leverantörer, men för att få en kontinuitet är det något som bör göras under hela avtalstiden. Vi lever ju alla i ett digitalt ekosystem som ständigt förändras och utvecklas.
Vill du läsa mer om hur Stratsys kan hjälpa din organisation att möta kraven?
Vår regelverkssida om NIS2
Vår regelverkssida om DORA