Ny cyberlagstiftning lägger ansvaret på högsta företagsledningen

Informationssäkerhet och cyberförsvar har hamnat högst upp på den politiska dagordningen efter flera uppmärksammade dataintrång, informationsläckor och överbelastningsattacker.

– Det är klart att situationen i världen påverkar oss. Mer hackerattacker genomförs både riktat och brett mot kända sårbarheter. Att vi har verksamhet i Ukraina är ett exempel på något som gör att vi kan bli utsatta, säger Johanna Pauli, chef för informationssäkerhet och digital regelefterlevnad vid SKF.

För att stärka cyberskyddet agerar nu därför EU genom det så kallade NIS 2-direktivet (Network and Information Systems Security Directive). Direktivet ska stärka cybersäkerheten för samhällsviktiga och digitala verksamheter, inklusive inom tillverkning, energi, transporter, hälso- och sjukvård och IT-tjänster. Det kräver att företag och myndigheter arbetar strukturerat med cybersäkerhet – annars väntar kännbara böter.

Bland annat måste specifika säkerhetsåtgärder införas, inklusive:

• Åtgärder för riskhantering och införande av säkerhetspolicy, för att exempelvis kartlägga hot som cyberattacker, driftstopp eller dataläckor.
• Incidenthantering, såsom interna processer för att logga och analysera intrångsförsök, med snabb återrapportering till kontrollmyndighet vid allvarlig incident.
• Förstärkt säkerhet i leverantörskedjan, såsom krav på säkerhetscertifiering i upphandlingar och granskning av leverantörers hantering av känsliga data.
• God kontinuitetsplanering, som att upprätta en incident- och återställningsplan, säkerhetskopiera data på isolerade servrar samt öva återstart av kritiska system.
• Utbildning inom säkerhetsmedvenhet, såsom årliga säkerhetsutbildningar, phishing-tester och tydliga kontaktvägar vid misstänkta angrepp.

Ta hand om säkerheten

På hemmaplan blir direktivet svensk lag i form av cybersäkerhetslagen, som förväntas träda i kraft den 15 januari nästa år.

– Den grundläggande tanken är att alla verksamheter behöver bli bättre på att ta hand om sin säkerhet, säger My Bergdahl, näringspolitisk expert med ansvar för standardisering och digital handel vid Teknikföretagen.

My Bergdahl poängterar just ordet ”alla”, som genom det uppdaterade direktivet kommer att gälla alltifrån kommuner och myndigheter till tillverkande industrier, ansvariga för kritisk infrastruktur och andra.

– Man har ett krav på att det ska omfatta vad man inom EU kallar ”medelstora företag” och större. Det innebär att de flesta företag i Sverige som har minst 50 anställda eller en omsättning på minst 10 miljoner euro per år kommer att omfattas, säger hon.

Med andra ord kommer de flesta av Teknikföretagens medlemmar att beröras. En av dem, den tidigare nämnda lager-, tätnings- och smörjsystemskoncernen SKF, har redan en långtgående plan för hur man ska implementera och efterleva de nya kraven enligt NIS 2.

– Ett område som NIS 2-direktivet trycker på är krisledning. Vi får då som bolag granska våra processer och se till att de utöver vad vi redan har på plats – som ifråga om miljö, hälsa och säkerhet – också inkluderar det digitala perspektivet inom krishantering, säger Johanna Pauli vid SKF.

Ansvar för företagsledningen

Även ifråga om implementation har SKF satt upp ett NIS 2-program, där man arbetar för efterlevnad av alla krav som ställs genom direktivet och de nationella informationssäkerhetslagar som antas i varje enskild EU-medlemsland där företaget verkar.

– Så vi ser det här som vår regelefterlevnadsresa, där vi börjar med Europa, säger Johanna Pauli, som samtidigt menar att detta ska tas vidare globalt, då SKF finns representerat i hela 130 länder.

En viktig aspekt är att ledningen i varje verksamhet som omfattas är medveten om vilka åtgärder som krävs och hur man ska rapportera till tillsynsmyndigheterna.

– Så ledningen måste vara med och förstå och veta vad som händer, och det är ju en bra sak. Det skapar motivation och intresse för att driva cyberfrågan och regelefterlevnadsfrågan i respektive organisation, påpekar Johanna Pauli.

En avgörande aspekt av det utvecklade NIS 2-paketet är just att cybersäkerhetsfrågorna lyfts upp från IT-avdelningen och görs till ett ansvar för företagsledningen. Dessutom väntar mycket kännbara sanktionsbelopp om man inte tillgodoser kraven.

NIS 2 delar upp berörda verksamheter i kategorierna ”väsentliga” respektive ”viktiga”. Väsentliga verksamheter som bryter mot kraven kan straffas med böter på upp till 10 miljoner euro eller två procent av den totala globala årsomsättningen (beroende på vilket belopp som är högst).

– De flesta tillverkningsföretag hamnar i kategorin ”viktiga”, men kan ändå få böter om hela 1,4 procent av den globala årsomsättningen, eller sju miljoner euro, beroende på vilket som är högst, säger My Bergdahl.

I särskilt allvarliga fall – och detta är helt nytt i NIS 2 – kan tillsynsmyndigheter tillfälligt förbjuda personer i ledningen av ett företag att utöva sitt ledningsuppdrag (detsamma gäller dock inte offentliga aktörer). Det syftar på grovt eller upprepat åsidosättande av de skyldigheter som direktivet lägger på företagsledningen, som i sin tur innebär betydande risk för samhällets funktion eller medborgarnas säkerhet.

"Mycket tid och pengar"

Föregångaren till NIS 2 var NIS-direktivet, som antogs redan 2016 men som endast riktade sig till en begränsad skara sektorer och företag. I takt med att fler delar av samhället sedan dess har blivit alltmer beroende av digital kommunikation och infrastruktur lade EU fram det utvecklade NIS 2-direktivet, som i Sverige ska bli lag i form av cybersäkerhetslagen.

Jimi Inge är affärsutvecklingschef vid IBM Sverige, som också är medlem i Teknikföretagen. De håller på att arbeta fram en automatiserad process kring NIS 2 och andra nya regelverk från bland annat EU.

– För det är så otroligt mycket tid och pengar som läggs på det här. 25 procent av en CIO:s IT-budget läggs på regelefterlevnad idag, säger Jimi Inge.

I sammanhanget tycker han att det är bra att regelverk som NIS 2 (som Jimi Inge kallar ”sunt förnuft på papper”) ställer större krav på att även företagsledningarna tar ansvar för informationssäkerheten. Cyberintrång drabbar allt större delar av samhället, och bör därför också bli en ansvarsfråga för fler anställda inom ett företag.

Inte minst lyfter Jimi Inge de senaste årens många ransomware-attacker som allvarliga samhällshot. Vid sådana angrepp tar en angripare kontroll över en dator eller ett datorsystem och krypterar filerna så att de inte längre går att komma åt. För att låsa upp tillgången eller se till att inte informationen läcks till obehöriga måste offret betala en lösensumma, ofta i form av kryptovaluta.

– Men det är fortfarande stor skillnad mellan vilka krav som ställs på verksamheterna och vad IT-avdelningarna klarar att leverera. Och tyvärr kommer ju bad guys ofta att ligga före oss. Det är det som driver cybersäkerhetsarbetet framåt, säger han.

.....................

NIS jämfört med NIS 2:

Källa: NIS2Sverige.se