NIS2-direktivet behöver tas på allvar

Förhoppningsvis har uppmärksamheten om NIS2 nu börjat att sprida sig till de som är berörda. Det vore inte bra om uppvaknandet kommer först nästa sommar, med ett par månader att införa alla förändringar. Det kan bli en stressig tid – inte minst eftersom böterna för de som inte följer direktivet är substantiella.

NIS2 är inte att leka med
Nyligen hörde jag Morten Løkkegaard, en dansk europaparlamentariker som var ledande i att ta fram NIS2, säga att orsaken till att det togs fram var att många verksamheter inte riktigt tog det första NIS-direktivet på allvar. Direktivet från 2016 som nu ersätts var tandlöst i och med att det saknade sanktioner för de som inte följde det. Kanske har detta även fått en del att tro att NIS2 är mer av samma sak.

Efter att ha konsulterat branschen kom dock EU fram till att det behövdes mer för att få alla att förstå allvaret i cyberhoten: Det behövs helt enkelt böter. Det är också vad som funkat på andra områden, som till exempel i fråga om konkurrenslagstiftningen i EU. I NIS2 har EU tagit i rejält. Att inte följa direktivet kan kosta 10 miljoner euro eller 2 procent av företagets hela omsättning.

Det är säkrast att investera
Ett så pass högt bötesbelopp innebär att vi nått den punkt när det inte är någon tvekan om att det lönar sig att investera. Annars blir det inte bara böter utan personer i ledande ställning är dessutom personligt ansvariga. Dessutom blir det revisioner för att säkerställa att verksamheterna uppfyller kraven.

Syftet är förstås att se till att företag med en samhällskritisk verksamhet faktiskt sköter sin cybersäkerhet. De kanske redan borde gjort de här investeringarna men nu tvingas de till det.

Vi vet inte hur många det är i Sverige som omfattas. I Danmark beräknas det vara cirka 1 000 verksamheter, så kanske är antalet det dubbla här? Att det är så pass många beror på att en flera branscher som inte omfattades av det första NIS-direktivet nu gör det i NIS2. Det gäller allt från sophantering till livsmedelshantering. Även mindre företag kan omfattas om det de gör är tillräckligt kritiskt.

Hur uppfyller man kraven?
NIS2 ställer dessutom betydligt tuffare krav på hur cybersäkerheten ska utformas. Det krävs en cybersäkerhetsstrategi, att verksamheterna vet vad som händer på nätverket och att man kan skydda sig. Det räcker inte med grundläggande saker som att ha en brandvägg eller att skydda sina endpoints.
Det går till exempel inte att uppfylla kraven utan att ha en överblick av det som händer på nätverket. Det behövs en logg för att kunna veta hur ett intrång gick till och hur det spred sig. I praktiken innebär detta att många verksamheter kommer behöva göra investeringar i ny teknik.

Dessutom behövs det nya processer, vilket innebär att det behövs nya rutiner och utbildningar. Till exempel behöver vissa verksamheter inom 24 timmar rapportera till en myndighet när det sker ett intrång som hotar avbryta verksamheten/leveransen av deras samhällsviktiga tjänst.

Det börjar bli bråttom
Medlemsländerna har nu fram till i oktober nästa år på sig att implementera NIS2, vilket innebär att vi idag inte exakt vet när direktivet blir lag i Sverige. Att faktiskt implementera tekniken tar dessutom en del tid. Den enskilda verksamheten behöver först skaffa sig en överblick över vad direktivet innebär för den egna verksamheten, sedan formulera en strategi, upphandla lösningar och implementera dem.
Därför försöker vi som leverantörer nu få så många verksamheter som möjligt att uppmärksamma frågan, så att de sätter igång så snabbt som möjligt. De som väntar med att ta tag i frågan kommer kanske upptäcka att många av oss leverantörer knappt hinner leverera. Det här kan bli hektiskt.

Henrik Berggren
Cybersäkerhetsexpert Logpoint