I en alltmer digitaliserad värld ökar cyberhoten, vilket ställer högre krav på företags och organisationers cybersäkerhet. Ett viktigt steg i denna utveckling är EU-direktivet NIS2, som träder i kraft i Sverige senare i år.
NIS2 syftar till att skapa en gemensam hög nivå av cybersäkerhet inom EU. Till skillnad från föregångaren, NIS1, omfattas fler sektorer och kraven har skärpts för de sektorer som redan omfattades.
Är din organisation osäker på hur ni ska gå till väga för att efterleva NIS2-direktivet? Här är några viktiga insikter och åtgärder att vidta innan lagen träder i kraft.
- Ta reda på om och hur er verksamhet påverkas av NIS2
Det är dock viktigt att notera att många verksamheter påverkas indirekt genom avtal och samarbeten med aktörer inom nämnda sektorer. Exempelvis kan er verksamhet, genom att vara leverantör till en offentlig aktör, även behöva uppfylla de nya kraven.
2. Identifiera nödvändiga åtgärder och aktiviteter för att uppfylla kraven
För att uppfylla kraven i NIS2 bör er verksamhet eller organisation identifiera och prioritera de mest relevanta åtgärderna. En checklista kan vara ett bra stöd för transparens i organisationen och för att säkerställa genomförandet av viktiga insatser, exempelvis:
-
- Utbildning av ledningsgrupp och personal
- Implementering och upprätthållande av rutiner för ett systematiskt informationssäkerhetsarbete
- Upprättning/uppdatering av incidenthanteringsplaner
- Anmälan till tillsynsmyndighet (om ni är direkt påverkade)
3. Sätt upp ansvar och roller
För att implementera identifierade åtgärder krävs ett samarbete mellan exempelvis verksamheten, Chief Information Security Officer (CISO), teknikutvecklare och ledningsgrupp. Att sätta upp tydliga roller och fördela ansvaret för de identifierade åtgärderna är avgörande för att lyckas driva igenom nödvändiga förändringar. Dessutom bör en budget säkerställas för att garantera att tillräckliga resurser finns tillgängliga. Respektive ansvarig bör därefter ges i uppgift att ta fram en plan för att implementera identifierade åtgärder.
4. Kommunikations- och beslutsvägar
För att hantera implementeringen av identifierade åtgärder krävs fungerande kommunikationsvägar och beslutsforum. Det kan antingen sättas upp som ett eget projekt eller program, alternativt läggas till i befintligt ramverk eller forum genom att exempelvis drivas i befintlig linjeverksamhet.
5. Uppföljning och avvikelsehantering
Regelbunden uppföljning är nödvändig för att säkerställa framdrift och identifiera eventuella avvikelser, så att de kan åtgärdas i tid. Genom att kontinuerligt utvärdera och justera säkerhetsrutiner kan er organisation bygga en långsiktig och hållbar cybersäkerhetsstrategi.
Har din organisation förutsättningar att möta NIS2-kraven?
Vi på Montell & Partners kan stödja er genom hela transformationsprocessen – från analys och framtagning av strategi till genomförande, implementering och uppföljning. Kontakta oss för att diskutera hur vi kan hjälpa er att navigera de nya cybersäkerhetskraven och minska era risker kopplat till cybersäkerhetshot.
Mer information om NIS2 och vad som gäller i Sverige finns hos MSB (Myndigheten för samhällsskydd och beredskap).
Senaste kommentarer