EU-direktiv kan leda till dubbelsmäll

EU-direktiv kan leda till dubbelsmäll för offentliga organisationer. Redan i dag löper svensk offentlig sektor stor risk för att drabbas av cyberangrepp och inom kort dessutom stora bötesbelopp om de inte hunnit anpassa sig till de striktare kraven som kommer när NIS2-direktivet blir svensk lagstiftning nästa år. Det skriver Fredrik Olsson på cybersäkerhetsföretaget NTT Security.

Fredrik Olsson.

Nyheter om cyberattacker mot svenska kommuner och deras underleverantörer duggar allt tätare. Enligt en enkät från TV4 Nyheterna har 44 procent av offentliga verksamheter utsatts för cyberangrepp bara under det senaste året. När ekonomiska incitament tidigare varit den främsta drivkraften bakom angrepp ser vi, med det rådande omvärldsläget där Sverige inte längre ses som ett neutralt land, allt fler attacker som främst syftar till att åstadkomma maximal skada. Detta är bidrar i sin tur till den markant ökade volymen av attacker och ställer nya krav på hur offentliga organisationer ska skydda sig själva.

Tacksamt offer

Som en blivande del av Nato är Sverige ett svagt och tacksamt offer för de angripare som letar efter lätta byten inom alliansen, med vår föga smickrande 15:e plats i ITU:s Global Cybersecurity Index. Sverige ligger långt efter många av sina europeiska grannar inom cybersäkerhet och för många offentliga organisationer måste stora förändringar till för att uppfylla kraven i NIS2.

När NIS2 blir svensk lagstiftning under nästa år införs strängare säkerhetskrav och skyldigheter såsom att implementera metoder för riskhantering och snabb incidentrapportering, garantera säkerheten i system och regelbundet bedöma och förbättra den egna säkerheten. Om inte den nya regleringen följs riskerar svenska organisationer upp till tio miljoner euro eller två procent av den totala omsättningen i böter.

Fick böta 12,5 miljoner

Tidigare i år dömde PTS ett bolag till en sanktionsavgift på 12,5 miljoner kronor för brott mot säkerhetsskyddslagen. NIS2 kommer att medföra betydligt högre bötesbelopp än vad brott mot säkerhetsskyddslagen kan medföra i dag. Det mest utmanande för att uppfylla säkerhetskraven är att skaffa sig förmågan att upptäcka och stoppa cyberattacker innan de tagit sig in i organisationens system. Rent konkret innebär det att kunna säkerställa följande:

  1. En inledande behovsanalys och kartläggning av känslig och skyddsvärd data inom den egna verksamheten och närliggande organisationer.
  2. Tillgång till högkvalificerad personal som kan övervaka och utvärdera larm dygnet runt, samt vidta nödvändiga åtgärder för att stoppa angrepp vid allvarliga incidenter och genomföra incidentrapportering enligt kravet ”inom 24 timmar”.
  3. En teknisk plattform med artificiell intelligens som kan sortera i den enorma mängd larm som genereras och därmed ge nödvändiga förutsättningar för de människor som behöver hantera attackerna. 
  4. Möjligheten att processa data inom verksamhetens och landets gränser samtidigt som man tillåts dra nytta av globala trenddata.

Många aktörer inom offentlig sektor är i dag mycket långt från att uppfylla dessa kriterier och har inte råd att invänta den svenska lagstiftningens utformning utan måste öka takten i sitt cybersäkerhetsarbete. Annars riskerar de en dubbelsmäll.

Fredrik Olsson
Nordenchef på NTT Security