NIS2-lagen gäller nu – vad måste ditt företag göra?

Omfattas din verksamhet?

Det nya cybersäkerhetsdirektivet lämnar inget utrymme för tvekan gällande vem som påverkas. Lagstiftningen har utvidgats kraftigt jämfört med sin föregångare för att skydda det moderna digitala samhället från allvarliga störningar. Nu omfattas tusentals svenska verksamheter som tidigare har kunnat operera utanför de strängaste säkerhetskraven. Det handlar inte längre bara om de mest uppenbara målen som kraftverk eller banker, utan om en bred palett av aktörer som tillsammans håller igång vår vardagliga infrastruktur. Om ditt företag levererar tjänster eller produkter som samhället är beroende av är sannolikheten stor att ni måste agera omedelbart.

Kriterierna för de samhällsviktiga sektorerna

För att avgöra om din verksamhet träffas av regelverket finns det två huvudsakliga faktorer att ta hänsyn till, nämligen branschtillhörighet och företagets faktiska storlek. Lagen delar in verksamheter i väsentliga och viktiga enheter, men båda kategorierna har i stort sett samma hårda krav på sig när det gäller säkerhetsåtgärder. Det är framför allt medelstora och stora företag med mer än femtio anställda eller en viss omsättning som berörs direkt av reglerna. Mindre företag kan dock dras med om de anses ha en kritisk roll för systemet.

• Energi, transport och bankverksamhet utgör den traditionella kärnan i lagstiftningen eftersom avbrott där får omedelbara konsekvenser för hela landet.

• Hälso- och sjukvård, dricksvattenförsörjning samt digital infrastruktur är också klassade som kritiska områden där säkerheten måste höjas avsevärt.

• Offentlig förvaltning och rymdsektorn ingår numera bland de verksamheter som måste uppfylla de skärpta kraven på digital motståndskraft.

• Tillverkning av kemikalier, medicinteknik och livsmedel tillhör de nya sektorer som har lagts till för att skydda hela försörjningskedjan.

Leverantörskedjans dolda påverkan på mindre aktörer

Även om ditt företag inte uppfyller storlekskraven eller tillhör de arton utpekade sektorerna direkt kan ni ändå påverkas indirekt. De stora organisationerna som omfattas av lagen är nämligen skyldiga att kontrollera säkerheten hos alla sina underleverantörer och samarbetspartners. Det innebär att mindre leverantörer av it-tjänster, komponenter eller logistik kommer att mötas av strikta avtalskrav. Om ni vill fortsätta göra affärer med de större aktörerna måste ni därför kunna visa upp en hög säkerhetsnivå. Lagen skapar på så sätt en dominoeffekt som höjer den digitala standarden i hela det svenska näringslivet.

Riskhantering och 24-timmarsregeln: De nya skärpta kraven

Att uppfylla kraven handlar om att gå från reaktiv brandkårsutryckning till ett proaktivt och systematiskt säkerhetsarbete. Verksamheter måste implementera tekniska och organisatoriska åtgärder som är proportionerliga i förhållande till de risker som finns. Det handlar om att förstå sina digitala tillgångar och ständigt analysera vilka hot som kan lamslå systemen. Fokus ligger på att förhindra incidenter innan de inträffar, men också på att minimera skadorna om ett intrång ändå skulle ske. Detta kräver en genomgripande förändring av hur organisationen ser på informationssäkerhet i det dagliga arbetet.

Systematiska åtgärder för digital motståndskraft

Grunden i det nya arbetssättet är att införa en rad grundläggande säkerhetsrutiner som omfattar hela organisationen, från golvet upp till ledningsgruppen. Det räcker inte med att installera ett antivirusprogram, utan det krävs policys för informationssäkerhet, incidenthantering och kontinuitetsplanering. Verksamheten måste ha en tydlig plan för hur driften ska upprätthållas under en pågående kris eller cyberattack. Dessutom ställs det krav på säkerhet vid anskaffning av system och en väl fungerande kryptering av känsliga data. Det digitala försvaret måste helt enkelt bli en naturlig del av affärsverksamheten.

• Incidentrapportering kräver att myndigheterna informeras i flera steg, där den första tidiga varningen måste skickas inom tjugofyra timmar efter upptäckt.

• Sårbarhetsanalyser och regelbundna penetrationstester måste genomföras för att identifiera svagheter i systemen innan obehöriga gör det.

• Utbildning av personalen är obligatorisk eftersom mänskliga misstag genom nätfiske och social manipulation fortfarande är den vanligaste vägen in för angripare.

• Tillgångskontroll och multifaktorautentisering ska implementeras på alla kritiska system för att säkerställa att endast behöriga personer har åtkomst.

Den strikta tidslinjen för incidentrapportering

När en allvarlig it-incident inträffar tickar klockan betydligt snabbare än tidigare och kraven på transparens är stenhårda. Organisationen måste lämna en första rapport till tillsynsmyndigheten inom tjugofyra timmar, vilket innebär att interna processer måste vara extremt effektiva. Denna tidiga varning ska följas upp av en fullständig incidentrapport inom sjuttiotvå timmar där omfattningen beskrivs mer detaljerat. Slutligen krävs en slutrapport en månad efter händelsen med en djupgående analys av orsaken. Det här ställer enorma krav på att organisationen har övat och vet exakt vem som gör vad vid en kris.

Företagsledningens personliga ansvar – och risken för miljonböter

En av de mest dramatiska förändringarna i den nya lagstiftningen är hur ansvarsfrågan flyttas direkt till organisationens absoluta topp. Tidigare har cybersäkerhet ofta betraktats som en renodlad it-fråga som har hanterats på driftsnivå utan djupare engagemang från styrelsen. Det är det helt slut med nu när lagstiftaren kräver att ledningen tar ett aktivt ägarskap. Om en verksamhet missköter sitt säkerhetsarbete kan det inte längre viftas bort som ett tekniskt problem. Det är personerna som fattar de strategiska besluten som kommer att hållas direkt ansvariga för bristerna.

Styrelsens och vd:s nya juridiska skyldigheter

Ledningsgruppen och styrelsen har fått ett explicit lagstadgat ansvar att godkänna organisationens säkerhetsåtgärder och övervaka genomförandet av dem. Det innebär att chefer inte kan skylla på okunskap om en stor överträdelse eller dataläcka skulle inträffa. De är skyldiga att själva genomgå regelbundna utbildningar om cybersäkerhet för att kunna göra välgrundade riskbedömningar. Om ledningen försummar detta ansvar kan tillsynsmyndigheten besluta att tillfälligt suspendera personer från sina chefsposter. Det personliga ansvaret gör att cybersäkerhet nu har blivit en kritisk fråga för överlevnad på högsta ledningsnivå.

• Sanktionsavgifterna kan uppgå till enorma belopp, där väsentliga enheter riskerar böter på upp till tio miljoner euro eller två procent av omsättningen.

• Viktiga enheter kan drabbas av avgifter på upp till sju miljoner euro eller ett komma fem procent av den globala årsomsättningen.

• Personligt verksamhetsförbud kan utfärdas för vd eller styrelsemedlemmar om organisationen upprepade gånger struntar i att följa myndigheternas förelägganden.

• Offentliggörande av bristerna kan ske, vilket innebär att myndigheten publicerar information om företagets misslyckanden, något som skadar varumärket djupt.

Finansiella och ekonomiska konsekvenser vid regelbrott

De ekonomiska påföljderna är utformade för att vara så kännbara att företag inte ska kunna kalkylera med att ta böterna som en driftskostnad. Procentsatserna baseras på hela koncernens globala omsättning, vilket gör att summan kan bli astronomisk för större bolag. Utöver själva sanktionsavgifterna tillkommer kostnaderna för att återställa system, förlorad arbetstid och eventuella skadeståndskrav från drabbade kunder. Det blir helt enkelt betydligt billigare att investera i ett robust säkerhetsarbete i god tid än att drabbas av lagens fulla kraft. Det ekonomiska incitamentet för att göra rätt har aldrig varit starkare än nu.