Har du koll på NIS2-direktivet? Ifall du leder en organisation inom en samhällskritisk sektor, så som t.ex. energi, transport eller hälso- och sjukvård, behöver du veta vad direktivet innebär och hur det tillämpas.
– Om det börjar brinna på en arbetsplats så torde alla organisationer ha någon form av direktiv och regler för hur man ska agera: var brandfiltarna finns, hur personalen utryms och vem man ska ringa. På samma sätt borde organisationer vara förberedda för en eventuell cyberattack. Rutiner och processer ska helt enkelt vara i skick, säger Johan Rönnqvist från DG Creative.
Tillsammans med kollegan Joel Sjöblom, vd på DG Creative, föreläste han på Concordia 3.10.2024 om det nya NIS2-direktivet som träder i kraft denna månad. Det så kallade NIS2-direktivet, eller Network and Information Security Directive 2, handlar om skyldigheterna att hantera och rapportera cybersäkerhetsrisker och incidenter inom vissa kritiska samhällssektorer. En incident eller cyberattack kan vara allt från att en anställds epost kapas till överbelastnings- och utpressningsattacker.
Ledningen ansvarig för cybersäkerheten
Det nya är att organisationers ledning enligt direktivet är ansvarig för organisationens cybersäkerhet. Det räcker alltså inte bara för ledningen att bli informerad av IT-avdelningen, utan cheferna måste även utbildas i cybersäkerhet.
– Sker det någon form av säkerhetsincident så måste man rapportera detta inom 24 timmar och inom 72 timmar ska man återkomma med en utförligare rapport som sedan följs upp inom en månad. Gör man inte det och det visar sig att man inte gjort riskbedömningar och ledningen aktivt tagit in cybersäkerhetsfrågor i sitt ledningsarbete kan sanktioner tillämpas, förklarar Joel Sjöblom.
Det kan låta hårt, men målet är att andra organisationer ska kunna varnas på detta sätt. Att sopa en cyberattack under mattan är inget alternativ.
Samhällskritiska sektorer berörs
Vilka är det då som berörs av NIS2? I NIS-direktivet som kom 2016 hade en del kritiska och viktiga sektorer lämnat bort. Dem har man tagit med nu. De som berörs är samhällskritiska sektorer, du kan läsa närmare om dem här.
– Även underleverantörer till samhällsviktiga företag kan omfattas av det nya direktivet, det är viktigt att komma ihåg. Däremot berörs endast de största städerna och välfärdsområdena direkt. Men om en kommun har till exempel ett vattenverk bör man noga fundera över den samhällskritiska påverkan, poängterar Joel Sjöblom.
Han påpekar att EU-länderna implementerar det nya direktivet i sin lagstiftning i lagstiftning i lite olika takt. Finland har ändå kommit längre än de övriga nordiska länderna och han räknar med att direktivet implementeras under denna månad i finsk lagstiftning. Målet med direktivet är ju att hela EU ska nå en hög gemensam cybersäkerhetsnivå.
Direktivet och åtgärderna kan verka invecklade, men Joel Sjöblom påpekar att mycket av riskhanteringen och processerna som krävs är sådana som företag bör ha i skick, oberoende av om de omfattas av direktivet eller ej. På det viset är en förberedelse för eventuella cyberattacker viktig även om organisationen i nuläget inte omfattas av NIS2-direktivet.
Läs mer om Network and Information Security Directive på Cybersäkerhetscentrets hemsida.