Artikel | 30 May 2024

Stärk er cybersäkerhet – en checklista inför NIS2

Responsive image

Då och då hör vi om omfattande cyberattacker hos IT-leverantörer som slår ut journalsystem, kassasystem och lönesystem. Attackerna kan leda till allvarliga konsekvenser för individer, företaget som drabbas och samhället i stort. Cybersäkerhet är därför något som alla företag borde arbeta med kontinuerligt. Omfattas företaget av reglerna i NIS2 finns dessutom ett flertal krav på hur arbetet ska bedrivas. Vissa företag har ännu inte intensifierat sitt informationssäkerhetsarbete med anledning av NIS2. Om ditt företag är ett av dem råder vi dig till att påbörja det arbetet så snart som möjligt och läsa vidare. 

Vad är NIS2?

Mot bakgrund av digitaliseringstakten, det ökade cyberhotet och behovet av en mer enhetlig cybersäkerhetsstrategi inom EU, så har NIS2-direktivet antagits. Det kan ses som en fortsättning på det tidigare NIS-direktivet från 2016 men jämfört med dess föregångare så har NIS2 ett utökat tillämpningsområde, innehåller mer omfattande krav och medför fler sanktioner och högre sanktionsavgifter för det fall ett företag bryter mot kraven. Direktivet ska vara genomfört i oktober 2024 men den svenska lagen ser ut att dröja till januari 2025. Mot bakgrund av de krav som ställs är det hög tid att börja förbereda er organisation inför NIS2 redan nu. Att ta sig an ett sådant projekt kan tyckas oöverstigligt men med vår checklista hjälper vi er att komma en bit på vägen.

Checklista NIS2

  1. Kontrollera om er verksamhet faller inom NIS2

Som nämndes inledningsvis träffar NIS2 fler aktörer än vad NIS-direktivet gör. Det skiljer även mellan högkritiska och andra kritiska sektorer. I de högkritiska sektorerna ingår t.ex. energi, transport, bank/finans, sjukvård, vatten/avlopp och offentlig förvaltning. I den senare kategorin ingår t.ex. post/budtjänster, avfallshantering, kemikalier, livsmedel och digitala leverantörer. Om ni tillhör någon av sektorerna omfattas ni av NIS2-kraven under förutsättning att ni sysselsätter minst 50 personer eller har en omsättning som överstiger 10 MEUR. I undantagsfall kan även andra verksamheter omfattas av reglerna, t.ex. om en störning i verksamheten kan ha betydande påverkan på allmän säkerhet. Vilken kategori ni tillhör har främst betydelse för sanktionsstorlek och om tillsynen är proaktiv eller reaktiv, kraven är dock desamma.

  1. Kontrollera om ni efterlever kraven

NIS2 kräver att ni vidtar tekniska och organisatoriska åtgärder som är proportionerliga i relation till risk. Ni behöver därför göra en inventering och gap-analys för att identifiera om det finns brister i era befintliga säkerhetsåtgärder. Exempel på åtgärder att implementera eller förbättra är:

  • Incidenthanteringsprocess: etablera processer och rutiner för att hantera och rapportera säkerhetsincidenter (betydande incidenter ska rapporteras till tillsynsmyndighet i tre steg: varning inom 24 timmar, incidentanmälan inom 72 timmar (24 timmar för betrodda tjänster) och slutrapport inom en månad).
  • Inköpsrutin: säkerställ att säkerhetsaspekter beaktas vid köp, utveckling och underhåll av IT-system och programvara.
  • Användning av kryptografi: använd kryptografiska metoder för att skydda känslig information under lagring och överföring.
  • Personalhantering: säkerställ att personalen inte utgör en säkerhetsrisk, inklusive bakgrundskontroller och säkerhetsutbildning.
  • Rutin för åtkomstkontroll: implementera system och process för att kontrollera och begränsa tillgång till känslig information och systemresurser.
  • Kommunikationslösningar: använd säkra kommunikationskanaler för att skydda information som överförs elektroniskt.
  • Autentiseringslösningar: säkerställ att endast auktoriserade användare kan få tillgång till system och data, inklusive stark autentisering och multifaktorautentisering.
  1. Åtgärda identifierade brister

Om ni i föregående steg upptäckte brister i ert informationssäkerhetsarbete så måste dessa avhjälpas eller i vart fall så måste riskerna med de identifierade bristerna mitigeras. Har ni inte vidtagit några åtgärder alls kan det vara aktuellt för er att göra det.

  1. Kartlägg och riskutvärdera era leverantörer

NIS2 ställer inte bara krav på er verksamhet. Den ställer även krav på att er leverantörskedja ska uppfylla kraven. Kartlägg därför vilka leverantörer ni använder er av för att utvärdera hur väl de uppfyller kraven i NIS2 och vad det finns för risker kopplade till dessa. Observera att ni kan behöva omförhandla eller göra tillägg till befintliga avtal för att ge instruktioner till era leverantörer och för att visa på regelefterlevnad.

  1. Utbilda er organisation

Ett av kraven i NIS2 är att bolagets ledning och anställda ska utbildas i informationssäkerhet/cybersäkerhet. Det är viktigt att de känner rutinerna som finns på plats och är medvetna om vilket ansvar de har för att skydda företagets tillgångar. Ha gärna löpande utbildning för att säkerställa att ledning och personal hålls uppdaterade.

  1. Följ upp, dokumentera och budgetera

Observera att kraven i NIS2 inte är av engångskaraktär. Att arbeta med informationssäkerhet är ett kontinuerligt arbete som kräver att ni regelbundet övervakar och granskar effektiviteten av era åtgärder och processer i syfte att identifiera förbättringsområden, exempelvis baserat på incidentrapporter och förändrade hotbilder. Ni måste även se till att dokumentera era processer, rutiner och andra åtgärder för att visa att ni efterlever kraven. Säkerställ därför att det finns utrymme i er budget för att kunna göra detta på ett effektivt sätt. Se det som en investering för att skydda ert företag mot cyberattacker, annan cyberbrottslighet och naturligtvis för att undvika sanktioner.

När kan ni behöva kontakta oss på Setterwalls?

På Setterwalls har vi stor erfarenhet av att driva och assistera i större compliance-projekt och om ni vill ha hjälp med att strukturera upp ert informationssäkerhetsarbete så hjälper vi er gärna. Vi kan t.ex. ge en tydligare redogörelse för vilka krav som följer av de olika regelverken, ge vägledning i vilka åtgärder ni behöver vidta, assistera er i er gap-analys/inventering av vidtagna åtgärder samt granska era rutiner och processer för att se om det finns förbättringsmöjligheter.

Varmt välkomna att kontakta oss!

 

Innehållet är en allmän redogörelse av informativ karaktär och är inte juridisk rådgivning att lägga till grund för bedömning i ett enskilt ärende.

Vill du komma i kontakt med oss?

Fyll i formuläret samt vilket kontor du vill bli kontaktad av, så hör vi av oss inom kort.