Nytt direktiv om cybersäkerhet

Cybersäkerhetskraven inom EU kommer att skärpas kraftigt för små och medelstora företag och offentlig sektor om mindre än ett år, när EU:s nya NIS2-direktiv blir implementerat i svensk lag.  Vägen dit kan vara komplicerad, och ännu är kunskapsnivån kring konsekvenserna låg.

Det hävdar Per Samuelsson, Sverigechef Cisco, i detta debattinlägg.

Per Samuelsson, Sverigechef Cisco.

För att utmaningen ska bli möjlig att hantera behöver det fortsatta utredningsarbetet och det slutgiltiga lagförslaget utgå från en realistisk bild av de påverkades situation och förmågor, menar Per Samuelsson och pekar här nedan på tre särskilt viktiga faktorer.

I rapporten Säker digitalisering med NIS2 som Cisco presenterade i samarbete med Radar Group under sommaren, framgår det att uppskattningsvis 10 000 svenska verksamheter, förmodligen många fler, inom både näringsliv och offentlig sektor, kommer att påverkas av direktivet. 

Även verksamheter med färre än 50 anställda förväntas omfattas av den nya lagen, förutsatt att omsättningen är tillräckligt stor. Hur många arbetsgivare av den storleken har ens ett team, eller en enda anställd, med IT-säkerhet som huvudsyssla idag?

Och även om de har de ekonomiska ramarna att anställa expertis råder redan ett enormt underskott på expertkompetens på marknaden. Det är inte bara svårt, utan även dyrt, att hitta rätt kompetens, och lagen kommer att göra konkurrensen om tillgängliga experter ännu hårdare.

Hårdare regler, fler företag

För den som inte vet det innebär NIS2 – en förkortning av ”Direktivet om åtgärder för en hög gemensam nivå av cybersäkerhet, version 2” – att verksamheter blir föremål för särskilt krävande IT-säkerhetskrav.  Det innebär både hårdare regler och att många fler företag jämfört med det befintliga direktivet som blev svensk lag 2018 omfattas i olika branscher.

Från vård och omsorg över post- och budtjänster till producenter av kemiska ämnen – alla verksamheter som klassas som kritiska utifrån ett samhällsperspektiv kommer att behöva uppgradera sin IT-säkerhet på flera plan.

NIS2 ställer nya strategiska och taktiska krav inom områden som riskhanteringsprocesser, riktlinjer för informationssäkerhet, resurser vid nödlägen och åtgärder för att säkerställa integriteten och äktheten hos egna system och processer, för att bara ta några exempel.

Och om få verksamhetsledare är medvetna om utmaningen, vet förstås ännu färre hur detta ska uppnås. Samtidigt tickar klockan på.

Utrymme för förbättring

Men även med dessa utmaningar i åtanke är det viktigt att komma ihåg att förändringar och skärpningar är nödvändiga. När den nya lagen träder i kraft kommer cybersäkerhet att bli en ännu högre prioriterad fråga i näringslivet. Det är naturligtvis en välkommen utveckling, inte minst för att det finns stort utrymme för förbättring. Enligt en undersökning från våren 2023 är bara nio procent av företagen inom EU, enligt egen uppfattning, väl eller mycket väl förberedda för att hantera en cyberattack.

För att utmaningen ska bli möjlig att hantera behöver det fortsatta utredningsarbetet och det slutgiltiga lagförslaget utgå från en realistisk bild av de påverkades situation och förmågor. Här är tre faktorer särskilt viktiga.

1. Gör det lätt att göra rätt

För att verksamheter både ska kunna genomföra sina åtaganden och hantera rapporteringsplikten måste det vara lätt att göra rätt. Myndigheterna behöver anstränga sig för att skapa tydliga, effektiva och proportionerliga ramverk för företag att förhålla sig till. Samma synsätt måste prägla hur man utformar processer för registrering och incidentrapportering – med minsta möjliga byråkrati och administration. Detta för att så mycket tid och fokus som möjligt ska kunna läggas på själva säkerhetsarbetet.

2. Börja i rätt ände

Pragmatiska och verklighetsförankrade riktlinjer är ett måste för att nå det faktiska målet – att höja säkerhetsnivån och stärka motståndskraften mot cyberhot. De nya lagarna är ett medel, inte målet i sig. Därför bör man prioritera åtgärder som ökar säkerhetsnivån utan att vara kostsamma eller komplexa. För små och medelstora företag kan det exempelvis innebära att ha en nödplan, backup, e-postsäkerhet, internetsäkerhet och kontoverifiering. Om alla dessa saker finns på plats och fungerar, stärks många av de traditionellt svaga länkarna i kedjan.

3. Se möjligheterna med teknologin

Den snabbaste teknologiska utvecklingen inom säkerhet sker i molnet. Molnbaserade säkerhetskoncept och -lösningar hjälper företag med bara ett fåtal anställda att kraftigt förbättra sin cybersäkerhet, både med hjälp av spetsteknologi och genom enkel tillgång till extern expertis. För ett mindre företag är outsourcing och hanterade tjänster en förutsättning för verksamheten, och lagstiftningen måste följa med i tiden och anpassas för att kunna ta vara på både dagens och morgondagens molntjänster.

Kommande månader avgörande

Företagens ansvar är att sätta sig in i de nya lagarna och hur de kommer att påverka verksamheten redan nu, för att kunna bidra till diskussionen och den slutgiltiga utformningen. De kommande månaderna innebär nämligen helt avgörande beslut för hur den framtida digitaliseringen kommer att se ut, och vilken nytta den kommer att kunna erbjuda näringsliv, offentlig sektor och medborgare.

För när allt kommer omkring finns de allra flesta av de minst 10 000 svenska verksamheterna som omfattas av lagen inte bara på EU:s radar, utan även på de cyberkriminellas.

Så länge alla parter drar åt samma håll kommer NIS2 obestridligt att vara en tillgång i kampen mot brottslighet och sabotage, ett kraftfullt verktyg för att skapa ett starkare och bättre rustat näringsliv på den fortsatta resan mot säker digitalisering. Men bara om vi gör det på rätt sätt.

Per Samuelsson, Sverigechef Cisco