Samhällsviktiga verksamheter omfattas sedan fem år tillbaka av det så kallade NIS-direktivet och i oktober 2024 skärps reglerna ytterligare när NIS2 implementeras i svensk lag.

Den nya lagen kommer att omfatta betydligt fler samhällssektorer och innebär nya krav på riskhantering och en kraftigt utökad rapportering. Kraven handlar framför allt om tydlig riskhantering, incidentupptäckt och incidenthantering och säkerhet i applikationer och infrastruktur.

Precis som när det gäller GDPR kan bristande efterlevnad också medföra böter, det handlar om upp till 10 miljoner euro eller två procent av ett företags globala omsättning. Dessutom kan personer i ledande positioner bli personligt ansvariga om lagen inte följs.

Inte igång än

Men trots att det alltså kan bli dyrt att inte leva upp till kraven och att vi också talar allt mer om ett ökande cyberhot så har de flesta företag

Peter Hellström
Peter Hellström.

som Peter Hellström, rådgivare på säkerhetsföretaget Nixu, träffar inte kommit igång med att förbereda sig för den nya lagen.

– De flesta – säkert fyra av fem – vet inte ens om att det är en ny lag på gång. En av tjugo kanske har börjat titta på det, säger han.

– Och de som börjat titta på det är ofta företag som redan omfattas av dagens informationssäkerhetslag. Men det är dags att sätta igång nu.

För att förstå om man omfattas av lagen gäller det att göra en bedömning av det egna företaget – och det är inte alltid helt självklart. Men Peter Hellströms råd är att utgå ifrån att man omfattas av den.

Påverkar leverantörer

Även om det ibland kan vara svårt att förstå vad som anses samhällskritiskt – det finns också vissa undantag – så är det också så att den som levererar till ett företag som anses samhällskritiskt måste leva upp till kraven. En motsvarighet till de databehandlingsavtal som leverantörer behöver teckna när det gäller GDPR.

– Det gör att många också drabbas indirekt och att väldigt få går fria. När man gör en första bedömning gäller det därför att också förstå sin leveranskedja, säger Peter Hellström.

Fler branscher

Med det sagt är vissa branscher som inte omfattats av det tidigare NIS-direktivet nu direkt utpekade i det nya direktivet. Det handlar om sådant som sophantering, avloppshantering och flyg.

– Hela livsmedelshanteringen omfattas också och det berör ju många – från producenter och livsmedelsindustri ända ut till handeln.

Ännu finns bara direktivet att gå på – den svenska lagen är ännu inte på plats – men man kan räkna med att det som finns i direktivet kommer att gälla som minst.

Tar många månader

Och även om det kan kännas lång till oktober 2024 så är det kortare än man kan tro. Peter Hellström bedömer att det kan ta 10-12 veckor att göra en första bedömning av var man står och ytterligare 9-15 månader att implementera den teknik och de styrningsprocesser som krävs för att leva upp till de nya lagkraven.

– Erfarenheterna från GDPR är ju att många stod månaden innan lagen skulle träda i kraft och var helt panikslagna för att de inte gjort någonting och det är ett dåligt sätt att hantera en så viktig fråga, säger han.

– Om man börjar nu så slipper man få så bråttom och utsätter sig för mindre risk. Man får tid att hitta sätt att lösa olika utmaningar.

Styrningen viktigast

Det viktigaste att ta tag i inför den nya lagen är att göra sin hemläxa och bedöma om företaget omfattas direkt eller indirekt och var man står säkerhetsmässigt. Sedan är det avgörande att inte stirra sig blind på de tekniska lösningarna utan verkligen arbeta med styrningen.

– De tekniska lösningarna gör ingen nytta om de inte styrs, de ruttnar från dag ett om inga processer kommer ut kring dem. Med den nya lagen så måste man kunna visa på hur man säkrar sitt företag – visa vad man har på plats och resultaten av det. Om det inträffar en incident måste man lära sig av den. Det krävs ett ledningssystem för att klara det.

Just styrningen är det som också är mest eftersatt. Peter Hellström tycker att väldigt få företag av dem han möter har en ordentlig styrning på plats.

– De flesta borde göra ett bättre jobb när det gäller cybersäkerheten. Man måste veta varför man gör saker och det kan långtifrån alla svara på.

Läs också: Starka kritiken mot nya säkerhetslagen – ”börjar i fel ände”

Fakta

Omfattar fler sektorer

Senast i oktober 2024 ska NIS2-direktivet vara införlivat i EU-ländernas nationella lagstiftning. I NIS2 ställs nya krav på riskhantering och en kraftigt utökad rapportering jämfört med det tidigare NIS-direktivet som nu ersätts.

Det tidigare NIS-direktivet omfattar:

  • Sjukvård
  • Digital infrastruktur
  • Transport
  • Vattenförsörjning
  • Digitala tjänsteleverantörer
  • Bank- och finansieringsrörelser
  • Energi

I NIS2 tillkommer:

  • Leverantörer av offentliga elektroniska kommunikationsnät eller kommunikationstjänster
  • Avloppsvatten och avfallshantering
  • Tillverkning av vissa väsentliga produkter , exempelvis läkemedel, medicintekniska produkter, och kemikalier.
  • Livsmedel
  • Digitala tjänster – bland annat sociala nätverksplattformar och datacentertjänster
  • Flyg- och rymdteknik
  • Post- och kurirtjänster
  • Offentlig förvaltning

Bristande efterlevnad av NIS2-direktivets krav kan medföra böter på upp till 10 miljoner Euro, eller 2 procent av företagets globala omsättning. Dessutom kan toppchefer och andra i ledande positioner bli personligt ansvariga för överträdelser.