Att NIS2-direktivet och informationssäkerhet har seglat upp på radarn både i media och på agendan hos företag den senaste tiden kan knappast ha undgått någon. Och det är inte en dag för sent.
För att skydda medborgarna och samhället mot störningar kommer EU:s NIS2-direktiv bli lägsta standard för informationssäkerhet i alla medlemsländer.
Oavsett om du inte omfattas av EU:s krav eller omfattas i viss grad, är det viktigt att se om sin informationssäkerhet och sätta sig in i NIS2-direktivet. Och idag är en utmärkt dag att sätta igång.
Under de senaste åren har itm8 sett intresset för informationssäkerhet öka rejält. Antalet cyberangrepp mot svenska myndigheter och organisationer fördubblades från 2022 till 2023. Samtidigt skriver Myndigheten för samhällsskydd och beredskap, MSB, i en rapport att 7 av 10 organisationer saknar grunderna i cybersäkerhetsarbete.
Stärkt säkerhet mot cyberangrepp och misstag
EU:s NIS2-direktiv är framtaget för att skydda medborgarna. Målet är att förebygga störningar på bland annat matförsörjning, sjukvård, energiförsörjning, avfallshantering, vattendistribution och bankverksamhet. Det ska även upprätthålla samhällsfunktionerna vid sådana störningar.
NIS2-direktivet gäller för privata och offentliga leverantörer av samhällsviktiga tjänster. Även om du vet eller är osäker på huruvida du omfattas eller påverkas av NIS2-direktivet bör du utveckla din informationssäkerhet hela tiden.
Det är egentligen lite sorgligt att en del verksamheter slår sig till ro så fort de vet att de inte omfattas av lagen. Som företag borde man alltid vara intresserad av att ha cybersäkerhet på plats eftersom man har ett ansvar mot ägare, kunder, medarbetare och samarbetspartners, säger Jens Johansson, managementkonsult GRC på itm8.
För det är inte bara illvilliga människor som gör cyberangrepp som är problemet, berättar Hannes Edström, managementkonsult GRC på itm8.
I en stor andel av incidenterna är det verksamheternas egna medarbetare som orsakar incidenter av misstag eller okunskap. Mycket av informationssäkerheten handlar därför om organisatoriska skyddsåtgärder. Det behövs systematik, medvetenhet, utbildning och att alla medarbetare hela tiden har säkerhet i bakhuvudet, förklarar han.
Så börjar du redan nu med IT-säkerheten
Så oavsett om du vet eller är osäker på huruvida din verksamhet kommer omfattas eller påverkas av lagstiftningen så är det heta tipset att sätta igång med säkerhetsarbetet redan nu. Titta gärna på ISO 27001 som vägledning för hur du ska efterleva NIS2-direktivet! Kraven handlar i mångt och mycket om att ha samma grundläggande förmågor på plats som i många vedertagna standarder och ramverk för informationssäkerhet.
En förutsättning för att stärka verksamhetens motståndskraft är att frågan lyfts till högsta nivå i organisationen.
Det är nödvändigt att lyfta frågan till ledningsnivå eftersom det är tydligt i NIS2-direktivet att ledningspersoner är personligt ansvariga för att lagstiftningen efterlevs. Det handlar om att ta ett officiellt beslut och nå samsyn i organisationen. Det går inte bara att ”Kalle på IT” ska lösa säkerhetsfrågan, säger Hannes Edström.
Ett sätt att påbörja säkerhetsarbetet är att göra en GAP-analys för att se vad som finns på plats och vad som behöver förbättras.
Samtidigt är det viktigt att skapa medvetenhet och intresse för säkerhetsfrågorna bland alla medarbetare. Det här är förändringar som kan ta tid att ta in och få att fastna. Som exempel har vi lagt planer på 6 till 12 månader och jobbar lågfrekvent tillsammans med många av våra kunder, säger Jens Johansson.
Ta hjälp och samarbeta
Samtidigt behöver ingen tro att man måste fixa allting själv. Det finns många företag, som till exempel itm8, som kan hjälpa till med expertis inom informationssäkerhet, såväl organisatorisk som teknisk.
Var gärna lite ödmjuk och var inte rädd för att ta hjälp av andra. Det är viktigt att ha en bra dialog både internt och med externa partners. Samverkan är oftast lösningen för att komma framåt på mest effektiva sätt, avslutar Jens Johansson.
Vill du veta mer om NIS2 och hur din verksamhet kan stärka IT-säkerheten? Hör av dig så hjälper vi dig framåt. itm8 har erfarenheten, kunskapen och resurserna som hjälper dig komma fram till svaren för just din unika verksamhet.
Vi hjälper till med handfasta råd för att uppfylla eventuella lagkrav och att implementera och utveckla säkerheten både organisatoriskt och tekniskt.