Så hanterar ni ny lagstiftning inom cybersäkerhet
Under året kommer en mängd företag från olika branscher påverkas av ny lagstiftning och regelverk kopplat till cybersäkerhet. NIS2, EU:s uppdaterade säkerhetsdirektiv med syfte att höja den samlade säkerhetsnivån i hela unionen, är ett av dem. Trots att NIS2 höjer kraven på hur företagen jobbar med cybersäkerhet, är det många som är ovetande om man omfattas av regelverket, vad det innebär och hur man inför det i sin verksamhet. Här berättar vi mer.
NIS2 är utformat för att öka organisationens förmåga att motstå och hantera cyberattacker. Oavsett om ditt företag omfattas av NIS2, finns det mycket best practice att dra nytta av för att arbeta mer proaktivt och strategiskt med cybersäkerhet i hela verksamheten.
Vad innebär NIS2? Läs mer här.
”Bland de som är medvetna om vad NIS2 innebär, är det många som anser att lagstiftningen kommer bidra positivt till cybersäkerhetsarbetet och till digitaliseringen i stort. NIS2 är en bra grund för att påbörja, eller fortsätta arbetet med strategisk säkerhet i verksamheten. På ledningsnivå, i tekniska lösningar och i den interna kulturen.” säger Johnny Eriksson, teknik och tjänstechef på Nordlo
Enligt Radar anser dock 74% av svenska företag att verksamheten saknar tillräcklig kompetens kring NIS2. Undersökningen visar även att 4 av 10 tror att se inte kommer vara redo när direktivet träder i kraft den 17 oktober 2024.
“NIS2 är en bra grund för att påbörja, eller fortsätta arbetet med strategisk säkerhet i verksamheten”
Dessa krav ställer NIS2 på verksamheten
Gör cybersäkerhet till en ledningsfråga
När verksamheter utsätts för intrång är det mer än enstaka applikationer som påverkas, snarare sätts hela företag ur spel. Därför är det inte konstigt att det uppdaterade NIS2-direktivet innebär ökade krav på riskanalys, säkerhetsåtgärder samt ledningens aktiva deltagande i organisationens cybersäkerhetsarbete. Detta betyder att cybersäkerhet inte längre kan ses som enbart en IT-fråga utan en affärsrisk som ska hanteras på strategisk nivå inom verksamheten.
Därför är det viktigt att ledningsgruppen är väl insatt i vad NIS2 innebär för ert säkerhetsarbete och vilka förändringsåtgärder som måste ske för att uppfylla regelkraven. Cybersäkerhetsarbetet är en affärsstrategisk fråga som borde vara en stående punkt både på kvartalsavstämningar med din IT-partner och på företagens ledningsgrupp- och styrelsemöten. Målet är att cybersäkerhet ska vara en integrerad del av allt ni tar er för som företag. Inte en isolerad funktion på IT-avdelningen
En av de största riskerna med att inte följa NIS2 är helt klart ekonomiska. Dels handlar det om sanktioner om företaget brister i sin regelefterlevnad. Men även den direkta ekonomiska förlust som en säkerhetsincident innebär. Att investera i sin cybersäkerhet driver alltså inte ökad lönsamhet i sig. Det minskar risken att lönsamheten går förlorad på grund av en incident – i form av avstannad verksamhet och skadat varumärke.
“Målet är att cybersäkerhet ska vara en integrerad del av allt ni tar er för som företag – inte en isolerad funktion på IT-avdelningen”
Säkra ert nuläge och blicka framåt
Att använda sig av NIS2 som best practice kommer stärka ert skydd mot attacker samtidigt som ni skapar en säker och motståndskraftig organisation. Helt enkelt ta reda på ert nuläge för att ta reda på era svagheter och åtgärda dessa.
Informationssäkerheten är en av grundstenarna i säkerhetsdirektivet och helt avgörande för ett robust, proaktivt säkerhetsarbete. Tid är en bristvara när intrånget väl sker vilket gör det förebyggande arbetet till en ovärderlig del av ert cyberskydd. Utöver att ha koll på sina informationstillgångar och vilken säkerhetsgrad de ska ha, innebär även detta:
- Identifiera och dokumentera risker och sårbarheter. Riskanalysen innebär att ni gör en genomlysning av hela er IT-miljö. Detta för att identifiera sårbarheter, skyddsvärda data och åtgärda brister i er cybersäkerhet.
- Rätt säkerhetslösningar på plats. Se till att era mest kritiska system, skyddsvärda data och applikationer är skyddade och motståndskraftiga enligt de krav som NIS2 definierar.
- Ta fram en beredskaps- och kontinuitetsplan. Vilka säkerhetslösningar och åtgärder krävs för att ni snabbt ska kunna återställa kritiska funktioner och system? Upprätta en beredskaps-och kontinuitetsplan för att bättre kontrollera effekten av en eventuell incident och minska störningarnas inverkan på verksamheten.
- Förankra med medarbetarna. Användarna utgör ofta en stor risk. Utbilda era medarbetare i grundläggande säkerhetsprinciper och förklara deras roll i de handlingsplaner som finns. Detta är en viktig del av en stärkt säkerhetskultur och en ökad samlad säkerhetsmedvetenhet inom ert företag.
Gemensamt för organisationer med en hög säkerhetsmognad är att de i mycket större utsträckning arbetar kontinuerligt förebyggande med utbildning och efterlevnad. De ska ha koll på hur ansvarsfördelningen ser ut vid hantering av uppkomna säkerhetsincidenter. Mindre säkerhetsmogna organisationer arbetar mer reaktivt med sin cybersäkerhet.
“Informationssäkerheten är en av grundstenarna i säkerhetsdirektivet och helt avgörande för ett robust, proaktivt säkerhetsarbete”
Bidra till trygghet i hela leveranskedjan
En säkrare leveranskedja är en viktig del av NIS2. Detta innebär att det är många som kommer påverkas indirekt av det skärpta säkerhetsdirektiven då de är leverantörer till företag inom berörda faktorer. Leverantörerna kan därför komma att granskas av både kunder och av myndigheter när direktivet träder i kraft.
Detta ställer krav på er som påverkat företag som måste ha insikt i er leveranskedja för att bedöma den övergripande säkerhetsnivån hos samtliga leverantörer, inte bara i den egna verksamheten.
Även om din verksamhet inte tillhör de företag som direkt omfattas av NIS2, kan regelverket ändå användas som best practice för att hantera säkerhetsfrågor i er organisation. Alla företag gynnas av att ta till sig de rekommendationer som NIS2 innebär.
Ta kontakt med oss på Nordlo för rådgivning kring tekniska lösningar och strategier som ökar er compliance med ny lagstiftning som NIS2.