Vad är NIS2? Cybersäkerheten flyttar från IT-avdelningen till styrelserummet

Under många år betraktades cybersäkerhet som en teknisk fråga. Det var något som hörde till IT-avdelningen, CISO:n eller en extern tjänsteleverantör. Om systemen var skyddade, säkerhetskopieringarna fungerade och säkerhetsverktygen var på plats, utgick många ledningsgrupper från att organisationen var rimligt väl förberedd.

Det antagandet räcker helt enkelt inte längre.

Cybersäkerheten flyttar från IT-avdelningen till styrelserummet

Det uppdaterade EU-direktivet om cybersäkerhet – NIS2 – klargör att cyberrisker inte längre enbart är en operativ IT-fråga. Det är ett ledningsansvar. Ledare, styrelser och ledningsgrupper måste förstå hur deras organisation är utsatt, hur incidenter skulle hanteras och om leverantörer och samarbetspartner uppfyller de nödvändiga säkerhetskraven.

Frågan är inte längre bara: Tar IT-avdelningen hand om säkerheten? Den är också: Kan ledningen visa att verksamheten är förberedd?

Den här förändringen är viktig. Cyberattackerna ökar, AI skapar nya angreppsytor, leverantörer blir allt vanligare intrångspunkter och känslig information kan snabbt hamna i fel händer. För organisationer i Norden och Europa är NIS2 inte bara ännu ett krav på regelefterlevnad. Det är ett tecken på att cybersäkerhet har blivit en central del av verksamhetens motståndskraft.

Ett bredare ramverk för en föränderlig hotbild

NIS2 är en uppdatering av EU:s direktiv om nät- och informationssäkerhet från 2016. Syftet är att stärka cybersäkerheten och den digitala motståndskraften i hela Europa, och direktivet omfattar både organisationer inom den offentliga och den privata sektorn.

Direktivet är särskilt relevant för sektorer och organisationer med koppling till kritiska samhällsfunktioner och kritisk infrastruktur. En av de viktigaste förändringarna är dock att tillämpningsområdet sträcker sig bortom de mest uppenbara leverantörerna av kritisk infrastruktur, då även underleverantörer ingår i bilden.

Ett företag som tillhandahåller väsentliga tjänster till en bank, en transportör, en organisation inom den offentliga sektorn eller en operatör av kritisk infrastruktur förväntas nu uppfylla högre krav på cybersäkerhet. Det kan också bli nödvändigt att stödja incidentrapportering om något går fel. I praktiken innebär detta att NIS2 kan påverka organisationer som kanske inte omedelbart ser sig själva som en del av kritisk infrastruktur, men som ändå stöder kunder som är det. Det är därför direktivet är relevant långt utanför IT-avdelningarna. Det påverkar avtal, säkerheten i leveranskedjan, rapporteringsrutiner, datahantering, åtkomsthantering och det dagliga arbetet.

Cybersäkerhet kan delegeras – ansvaret kan inte det

Den största förändringen med NIS2 handlar inte bara om vad företagen måste göra. Det handlar om vem som måste ta ansvar. Ledningsgrupper och styrelser förväntas se till att cybersäkerhetsrisker förstås, hanteras och följs upp. Det betyder inte att ledarna måste bli tekniska experter, men de behöver veta om organisationen har rätt processer, policyer, rutiner och interna resurser på plats.

De måste förstå vilka system som är kritiska. De måste veta var känslig information finns. De måste ha insyn i vem som har tillgång till vad. De måste veta vilka leverantörer som är avgörande för verksamheten och om dessa leverantörer uppfyller organisationens säkerhetskrav.

Detta gäller även när IT-tjänster läggs ut på tredje part. Ett företag kan anlita en leverantör av hanterade IT-tjänster, en molnpartner eller en cybersäkerhetsrådgivare, men det kan inte lägga ut ansvaret på någon annan. Om en leverantör har tillgång till system, infrastruktur eller känsliga uppgifter blir den leverantören en del av företagets riskbild. Med andra ord: Cybersäkerhetsuppgifter kan delegeras, men ansvaret kan inte det.

Leveranskedjan ingår nu i attackytan

En av de viktigaste lärdomarna från de senaste cyberincidenterna är att angriparna inte bara riktar in sig på huvudorganisationen. De letar också efter svagare länkar i dess omgivning. ”Leverantörer och underleverantörer blir ofta ingångspunkten – därför måste man ha kontroll över hela kedjan, inte bara sin egen organisation”, säger Robin Frantzen, Cloud Business Development Manager på NetNordic.

Ett företag kan ha en stark intern säkerhet, men ändå vara utsatt för risker via en leverantör, en supportprocess, en dåligt styrd molnmiljö eller en underleverantör med otillräckliga kontroller. Det är därför som NIS2 ställer högre krav på organisationer att förstå och hantera sina leverantörskedjor.

För företag som levererar till sektorer som finans, transport, offentlig sektor eller digital infrastruktur kan mognadsgraden inom cybersäkerhet komma att bli ett affärsmässigt krav. Kunder kan i allt högre grad kräva dokumentation, processer, rutiner för incidenthantering och bevis på att leverantörer uppfyller deras förväntningar. Organisationer som inte kan visa att de uppfyller dessa krav kan få svårt att leverera till vissa marknader. Det gör NIS2 inte bara till en regleringsfråga, utan också till en affärsfråga.

AI och skugg-IT gör insyn ännu viktigare

Tidpunkten för NIS2 är viktig. Direktivet införs i ett läge där hotbilden förändras snabbt. AI gör det billigare och enklare att skala upp vissa typer av cyberaktiviteter. Angripare kan använda automatisering för att identifiera utsatta system, testa inloggningsuppgifter, skapa phishing-material och söka efter sårbarheter. Samtidigt tar medarbetarna i snabb takt till sig AI-verktyg och molntjänster, ofta innan organisationerna har utarbetat tydliga riktlinjer för hur de ska användas. Detta skapar ett problem med översikten.

”Skugg-IT och okontrollerad användning av AI-verktyg är en av de största utmaningarna – eftersom man tappar överblicken över vart data egentligen tar vägen”, påpekar Frantzen.

Många organisationer brottas redan med skugg-IT:

• Verktyg, applikationer och tjänster används av medarbetarna utan formellt godkännande.
• Känslig information kan matas in i icke-godkända verktyg.
• Data kan behandlas i miljöer som ligger utanför organisationens kontroll.
• Nya system kan införas utan att det finns ett tydligt ansvar.

Därför behöver ledningen få en bättre överblick över hur tekniken används. Vilka verktyg används? Vem har godkänt dem? Vart hamnar uppgifterna? Vem bär risken? Vem rapporterar till ledningen?

För vissa organisationer kan detta innebära att man måste utse någon som ansvarar för AI och ny teknik, till exempel genom en AI-ansvarig, en säkerhetsansvarig eller en styrande befattning. Det viktiga är att nya verktyg inte bara kan dyka upp inom organisationen utan att någon tar ansvar för dem – för om ingen tar ansvar för verktygen, tar ingen heller ansvar för risken.

Efterlevnad börjar i det dagliga arbetet

NIS2 kommer inte bara att påverka riktlinjer och diskussioner på styrelsenivå. Det kommer även att påverka det dagliga beteendet. Anställda kommer att behöva vara mer medvetna om vilka verktyg de använder och vilken information de delar. Delning av dokument är ett exempel. Många organisationer skickar fortfarande känsliga dokument som e-postbilagor, även när säkrare metoder finns tillgängliga. Om dessa dokument innehåller personuppgifter, affärskritisk information eller kunduppgifter kan bristfälliga rutiner för informationsdelning utgöra en säkerhetsrisk.

Åtkomsthantering är ett annat viktigt område. Organisationer måste ha koll på vem som har åtkomst till vilka system, varför de har den åtkomsten och om den fortfarande behövs. Detta omfattar anställda, administratörer, leverantörer, leverantörer av hanterade tjänster samt eventuellt AI-agenter eller servicekonton.

Utbildningen måste också bli mer praktiskt inriktad. Generell medvetenhetsutbildning räcker inte. Medarbetare och chefer måste förstå realistiska scenarier, inkluderande exempelvis misstänkta e-postmeddelanden, ovanliga åtkomstförfrågningar, misstag vid datadelning, incidenter hos leverantörer, icke-godkända AI-verktyg och potentiella säkerhetsöverträdelser.

NIS2 uppmuntrar organisationer att anamma en mer proaktiv säkerhetskultur. Alla behöver inte bli specialister på cybersäkerhet, men säkerheten måste bli en integrerad del av människors arbetssätt.

Det största misstaget är att vänta

Ett vanligt misstag är att betrakta NIS2 som något man kan ta itu med senare. Många organisationer gjorde på samma sätt med GDPR och agerade först när tillsynsåtgärder och böter blev påtagliga. Det är en riskabel strategi.

Att vänta kan bli kostsamt. Företag kan drabbas av böter, krav från kunder, driftsstörningar, skada på anseendet eller förlust av marknadstillträde. Ännu viktigare är att bristfällig cybersäkerhet kan utsätta känsliga uppgifter för risker och påverka verkliga människor. När personuppgifter hamnar på dark web upphör inte skadan när den tekniska incidenten har avslutats.

Ett annat vanligt misstag är att betrakta NIS2 som ett IT-projekt. Om ledningen inte engagerar sig kan organisationen i slutändan stå där med tekniska åtgärder men utan någon verklig styrning. Riktlinjer kan finnas på papperet, men inte i den dagliga verksamheten. Leverantörer kan anlitas utan ordentlig utvärdering. Åtkomsträttigheter kan förbli oklara. Skugg-IT kan fortsätta obemärkt. De organisationer som förbereder sig i god tid kommer att stå starkare – inte bara gentemot tillsynsmyndigheter, utan även gentemot kunder, samarbetspartner och medarbetare.

Börja med en mognadsbedömning

För ledare är den bästa utgångspunkten inte att försöka lösa allt på en gång. Det handlar istället om att förstå den nuvarande mognadsnivån. En mognadsbedömning eller gap-analys kan hjälpa till att besvara de viktigaste frågorna: Vilka riktlinjer och processer har vi redan? Vilka system och vilka data är mest kritiska? Vem har tillgång till vad? Vilka leverantörer och underleverantörer är nödvändiga? Har vi kontroll över skugg-IT och AI-verktyg? Vem ansvarar för cybersäkerhet, molntjänster och incidenthantering? Är vi förberedda på att rapportera och agera om något händer? Detta ger ledningen en tydlig bild av var organisationen står idag och vilka brister som bör åtgärdas först.

Utifrån detta kan företagen vidta konkreta åtgärder: klargöra ägarförhållanden, kartlägga leverantörer, se över åtkomsträttigheter, införa Zero Trust-principer, uppdatera riktlinjerna för dokumentdelning, kontrollera användningen av AI, utbilda medarbetarna i realistiska scenarier samt samarbeta med en erfaren partner när den interna kompetensen är begränsad.

Mindre organisationer bör inte försöka bygga upp allt på en gång. De bör i första hand fokusera på de viktigaste systemen, leverantörerna, uppgifterna och processerna. Målet är inte komplexitet. Målet är kontroll.

Från regelefterlevnad till cyberresiliens

NIS2 bör inte enbart ses som en administrativ börda. Det är en möjlighet att bygga upp starkare och mer motståndskraftiga organisationer. Direktivet tvingar ledningsgrupperna att ställa frågor som de redan borde ställa. Förstår vi våra risker? Känner vi till våra leverantörer? Har vi kontroll över åtkomsten? Vet vi var våra data finns? Är vi förberedda på en incident? Kan vi bevisa att våra rutiner fungerar?

Cybersäkerhet har blivit en ledningsfråga eftersom digitala risker numera utgör affärsrisker. Ledare behöver inte känna till varje teknisk detalj, men de måste ta ansvar.

De organisationer som börjar redan nu – med insyn, styrning och en tydlig förståelse för sin nuvarande mognadsnivå – kommer att vara bättre förberedda inför NIS2, kundernas förväntningar och det hotbild som från början gjorde direktivet nödvändigt.