I detta inlägg fokuserar vi på NIS2-direktivet och nya cybersäkerhetslagen som är på gång.
För ett par veckor sedan hölls konferensen Folk & Försvar, ni minns där ministern för civilt försvar för cirka ett år sedan sade de bevingade orden “Det kan bli krig i Sverige”. I år var det statsminister Ulf Kristersson som vid konferensens första dag fick uppmärksamheten som en följd av uttalandet: “Sverige är inte i krig – men det råder heller inte fred”.
Vad är det då statsministern egentligen menar?
Han sade att Sverige med grannländer utsätts för hybridattacker, det vill säga attacker som utförs med datorer, pengar, desinformation och hot om sabotage – det ryska hotet är, av allt att döma, långsiktigt. Det måste vårt försvar också vara, sade statsministern och fortsatte: Cyber är den tillkommande delen i ett modernt försvar.
NIS2-direktivet
I förra månadens nyhetsbrev lovade vi att fokus denna gång skulle vara NIS2-direktivet, så varför pratar vi om statsministerns uttalanden? För att kopplingen mellan hans ord och syftet med NIS2-direktivet är väldigt stark. Vi hoppas givetvis att samtliga läsare av detta nyhetsbrev redan har insett allvaret och behovet av ett systematiskt & riskbaserat arbete med informationssäkerhet. Har ni mot förmodan inte gjort det så går det bra att kontakta oss på JSC så ser vi till att hjälpa er i gång.
Vi fokuserar nu på NIS2 och saxar då följande från MSB:s hemsida: ”NIS2-direktivet syftar till att uppnå en hög gemensam cybersäkerhetsnivå i hela den Europeiska unionen.” Jämfört med det första NIS-direktivet, ställs tydligare krav på bland annat riskanalyser och olika säkerhetsåtgärder. Många fler organisationer kommer också att omfattas. NIS2-direktivet kommer att genomföras i Sverige genom en lag som börjar gälla tidigast under sommaren 2025.
Kort och gott handlar direktivet alltså om att stärka EU-ländernas samt deras viktiga verksamheters kollektiva förmåga att skydda sig och agera mot cyberhot.
Ny cybersäkerhetslag i Sverige under 2025
NIS2 ska i Sverige omsättas i en ny nationell Cybersäkerhetsstrategi och i svensk lagstiftning genom den nya Cybersäkerhetslagen. Cybersäkerhetslagen kommer ersätta den tidigare ”Lag (2018:1174) om informationssäkerhet för samhällsviktiga och digitala tjänster”, som var en konsekvens av det tidigare NIS-direktivet från 2018.
Det sker en utökning av sektorer (nu 18 stycken) som omfattas av NIS2 och här är en stark rekommendation att undersöka om ni är en verksamhet som omfattas. Det finns verksamheter och sektorer där det inte råder någon tvekan om man omfattas eller inte, likaså finns verksamheter och sektorer som definitivt inte kommer omfattas. Detta styrs givetvis på verksamhetens natur men även på storlek, verksamheter som är mindre än 50 anställda eller omsätter mindre än 10 Miljoner Euro omfattas inte av direktivet. Det utmanande är att det finns en hel del verksamheter där vi ser en viss gråzon, det vill säga där det inte är svart eller vitt. Detta kan handla både om hur verksamheten är uppbyggd och hur tolkningar görs.
Verksamheter som omfattas av NIS2-direktivet kommer vara uppdelade i väsentliga och viktiga, där väsentliga är de mest kritiska för samhället.
Vill man se sektorer som omfattas så kan man bläddra fram till Annex II i detta mastiga EU-dokument: Direktiv 2022/2025 – NIS2.
Som småländsk informationssäkerhetsleverantör är det svårt att inte fokusera på just sektorn ”tillverkande företag”. Mappar man Sektor 5 i Annex II mot det hänvisade kapitel C i EUs register över ”ekonomisk aktivitet” (NACE rev 2.1) så inser man att direktivet kommer få relativt stor påverkan på just denna sektor.
Är du osäker på om ni omfattas eller inte, prata gärna med någon form av branschorganisation eller liknande för att se om de kan stötta. Omfattas man av NIS2-direktivet så kommer man behöva göra en anmälan till sin tillsynsmyndighet. Det är inte helt klarlagt i dagsläget när denna anmälan ska ha inkommit även om det florerat datum som redan passerats.
NIS2-direktivet – vad behöver vi göra?
Vi skriver vi i rubriken, för JSC är ett företag som kommer omfattas av direktivet. Vi som omfattas kommer behöva arbeta systematiskt med informationssäkerhet. Vi kommer inte i detalj gå in på exakt vilka åtgärder man behöver vidta, det är dessutom till viss del oklart i väntan på att direktivet omsätts i svensk lagstiftning. När kommer den svenska lagstiftningen då? 17:e oktober 2024! Eller nej, det blev försenat, det verkar som det blir vid årsskiftet 2024/2025. Eller, vänta nu, det blev för tight, det blir nog framåt sensommaren 2025. Ni förstår, det är inte spikat men de signaler som nu finns pekar på att vi har en ny cybersäkerhetslag i augusti 2025, precis som nämndes något stycke upp i texten.
Men åter till vad vi behöver göra. En rekommendation är givetvis att påbörja arbetet och att påbörja det med att etablera en modell för hantering av informationssäkerhetsrisker samt att börja kartlägga er verksamhets viktigaste informationstillgångar. Säkerställ även att viktiga IT-leverantörer arbetar med informationssäkerhet på ett sätt som återspeglar er kravbild.
Det finns många nyanser i NIS2-direktivet men de mest framträdande är ett riskbaserat arbete, utbildning över hela organisationen samt att det kommer vara väldigt tydliga riktlinjer kring incidentrapportering. Tittar man på MSBs hemsida så framgår tydligt nedan som viktiga aktiviteter:
Identifiera att man omfattas och anmäla sig.
Etablera/upprätthålla ett systematiskt arbete med informationssäkerhet, införa lämpliga säkerhetsåtgärder och utbilda ledning såväl som personal.
Rapportera in incidenter som medför eller kan medföra betydande störningar.
En annan stark rekommendation är att påbörja det arbete som idag ska ses som cyberhygien kopplat till tekniska skyddsåtgärder, inte minst (men bland annat) när det gäller åtkomst och behörigheter, enhetssäkerhet (datorer, servrar, mobiltelefoner osv.), kryptering och givetvis – att säkerställa en god förmåga att återställa IT-miljön efter en incident (både avseende teknik och rutiner).
NIS2 och tillsynsmyndigheter
I Sverige finns redan ett antal tillsynsmyndigheter kopplade till den befintliga informationssäkerhetslagstiftningen och dessa kommer utökas med flera. Tillsynerna kommer genomföras och baseras på om man är en så kallad viktig eller väsentlig entitet. Tillsyn för de väsentliga enheterna skall enligt NIS2 vara proaktiv, vilket innebär att tillsynsmyndigheten kan göra tillsynsbesök utan någon incident, anmälan eller misstanke om avvikelser. För de viktiga enheterna gäller det även i fortsättning en reaktiv tillsyn, som baseras på någon på förhand väldefinierad orsak.
Kraven på rapportering vid en incident är väldigt tydliga och innefattar en ”tidig varning” som ska lämnas in efter 24 timmar, en tydligare incidentnotifiering efter 72 timmar samt en slutrapport inom en månad. Givetvis kan det tillkomma krav på förfrågan av tillsynsmyndigheter och rapporteringsskyldigheten gäller som det ser ut nu i allvarliga fall av störning eller finansiell skada. Märk väl att vi fortfarande har GDPR att förhålla oss till när det gäller rapportering av incident som involverar läckta personuppgifter.
Till sist
Det är fortfarande tyvärr väldigt vanligt när vi kommer ut till verksamheter att man duckar för frågan. Detta är också något som förstärks av flera leverantörer inom informations- och cybersäkerhet. Man tror att för att man implementerat tekniska skyddsåtgärder så är man säker – ”Vi är så små, vi har inget som en hackare skulle vilja ha”. 2025 är året då denna illusion måste få ett slut. Oavsett om man omfattas av NIS2 eller inte så ska man ha informationssäkerhet på agendan och dessutom högt upp på den.
Att skydda sin verksamhet handlar inte heller om att skydda IT-systemen och nätverket, det handlar om att skydda affären. När något händer som får en stor påverkan på vår verksamhets förmåga att leverera, vad gör vi då, till vilken nivå gör vi det, vem ansvarar för att få det gjort och hur tar vi oss tillbaka? Ta med detta in i år 2025 så hörs vi mycket snart igen i nästa nyhetsbrev!
Denna blogg bygger på JSC:s nyhetsmail för informationssäkerhet. Vill du få månatliga uppdateringar med omvärldsbevakning i ämnet? Prenumerera på JSC Cure Nyhetsbrev.
Och läs mer om vårt arbete med IT-säkerhet för företag.