Påföljder för IT-säkerhetsöverträdelser som inte rapporteras eller som rapporteras för sent infördes i Europa redan 2018 i samband med att GDPR trädde i kraft. Sedan dess har konsekvenserna skärpts steg för steg och nu kan allvarliga överträdelser leda till böter på upp till tio miljoner euro eller två procent av den globala årsomsättningen för ett företag. NIS2 tar det ytterligare ett steg, nu hålls företagsledarna personligt ansvariga för att kraven uppfylls.  

NIS2 fastställer att ledningen godkänner riskhanteringsåtgärderna för cybersäkerhet och övervakar genomförandet i sin organisation eller sitt företag. Ledningen måste se till att berörda partner, leverantörer och kunder samt ansvariga myndigheter underrättas i händelse av en cyberattack som lyckas.

För att kunna uppfylla dessa krav bör ledningsgrupper regelbundet delta i cybersäkerhetsutbildningar som gör det möjligt för dem att identifiera och bedöma risker och säkerhetsåtgärder inom cybersäkerhet. Om detta inte uppfylls kan cheferna hållas personligt ansvariga för att ha åsidosatt sin omsorgsplikt, vilket redan har lett till diskussioner. Om kraven inte efterföljs kan det leda till allvarliga påföljder, bland annat kan ledningen befrias från sina uppgifter tills dess att bristerna har åtgärdats. 

Men det finns hopp eftersom ledningsgrupper har haft tid, och fortfarande har tid kvar att förbereda sig själva och sina företag. NIS2 innehåller tio krav som kan implementeras av organisationer före den första januari med hjälp av olika organisatoriska och tekniska åtgärder. Men på grund av att den nuvarande rättsliga situationen är vag är det svårt att fastställa exakt vilka åtgärder som är nödvändiga för respektive företag. 

NIS2 innebär att hela Europa får ett enhetligt ramverk för cybersäkerhet. Hittills har experter på IT-säkerhet främst vägletts av internationella standarder som bland annat NIST, CIS Controls och ISO 27001. Målet är att avsevärt minska cyberriskerna genom att gemensamt höja säkerheten, men för att det ska lyckas är det viktigt att alla berörda organisationer är aktivt involverade i att implementera och upprätthålla NIS2-kraven i sina IT-system.

Fyra avgörande moment

Förstå området: Chefer och beslutsfattare behöver grundläggande kunskaper om cybersäkerhet och en nära kontakt med organisationens områdesexperter, så att de kan ta välgrundade beslut när de får information av dem. 

Personal: Det krävs en flexibel cybersäkerhetsavdelning som kan hantera de ökade NIS2-kraven. Det kommer att vara nödvändigt att utse ett dataskyddsombud utöver informationssäkerhetsdirektören för organisationens datasäkerhet. Organisationen bör se till att inte tilldela båda befattningarna till en och samma person utan att istället fördela uppgifterna mellan dem på ett förnuftigt sätt. 

Analys: Organisationerna måste se till att varje enskilt affärsområde genomgår en kritisk granskning och analys med hänsyn till riskbilden, anpassas till NIS2 och revideras i enlighet med den nya kravbilden. 

Incidenthantering: Sist men inte minst måste det finnas en tydlig arbetsgång för hur en framgångsrik cyberattack mot företaget eller en anläggning ska hanteras. Partner, leverantörer och kunder samt ansvariga myndigheter måste då informeras så snabbt som möjligt. Händelseförloppet för rapportering av incidenter omfattar en tidig varning, som måste skickas till myndigheten inom 24 timmar efter det att man fått kännedom om incidenten, en mer detaljerad och formell rapport inom 72 timmar och en slutrapport en månad efter det att rapporten har lämnats in. 

Omställningen som NIS2 innebär kan bara lyckas om ledningsgrupper och IT-säkerhetsexperter samarbetar. Det här är inte ett enkelt projekt som genomförs på några veckor eller månader. NIS2 är en pågående, långsiktig uppgift. Från och med 2028 måste företagen varje år bevisa att deras IT-infrastruktur uppfyller kraven i NIS2. De måste bevisa att de har vidtagit ”lämpliga och proportionerliga tekniska, operativa och organisatoriska åtgärder” som ”motsvarar den senaste tekniken och lämpliga standarder”.  

En sak är säker: Cybersäkerhet kan inte uppnås över en natt. Det är en långsiktig process som ständigt behöver ses över och vidareutvecklas. 

Mats Ekdahl
Säkerhetsexpert på Check Point Software