Krönika - "NIS2-direktivet kommer leda till investeringar"

Av: Roman Cupka, seniorkonsult på Progress

Långsamt men säkert blir det svårare för verksamheter att klara sig utan heltäckande cybersäkerhetslösningar. NIS2-direktivet innebär i praktiken att tusentals företag och verksamheter i Sverige behöver investera substantiella summor för att klara de säkerhetskrav som ställs och behov som egentligen redan finns idag i fråga om säkerhet. Dels för att det ställs krav på det i NIS2-direktivet, dels för att slippa att istället redovisa sina brister när det redan skett ett intrång.

NIS2-direktivet är en EU-förordning som fastställer minimikrav för säkerhet för nätverk och informationssystem i EU:s medlemsländer. Detta innebär att de verksamheter som omfattas av direktivet och verkar inom EU kommer att vara skyldiga att följa dessa minimikrav för att skydda sina nätverk mot cyberattacker och bli mer motståndskraftiga.

I Sverige handlar det om en lång rad verksamheter av kritisk betydelse för samhället. Exakt hur hårda reglerna blir för en enskild verksamhet beror på i vilken kategori man ingår. Det handlar i alla fall inte enbart om energi, banker och andra samhällsviktiga branscher. NIS2 berör fler än föregångaren, även till exempel de som arbetar med matproduktion, digitala tjänster, sophantering eller kemikalietillverkning. Det är alltså breda sektorer som berörs.

Vilka investeringar krävs?
Cybersäkerhet är förstås inget nytt för dessa verksamheter, alla skyddar redan sin brandvägg och laptops (enhetsskydd) och de börjar också långsamt men säkert bli bättre på molnsäkerhet. Mindre vanligt är lösningar för nätverkssäkerhet såsom intelligent nätverksövervakning. Här kräver NIS2-direktivet att nätverket skyddas, inklusive hantering av sårbarheter. Dessutom har det tidigare inte krävts någon supply chain-säkerhet och flera andra typer av säkerhet tas nu också upp för första gången upp som krav.

Det som kommer behövas är verktyg för att upptäcka onormal aktivitet var den än uppstår och kontinuerlig övervakning för att kunna följa hur attacker sker och flyttar sig över nätverket. Även en helt ny sårbarhet, en Zero-Day vulnerability, behöver kunna upptäckas och analyseras, och detta behöver kunna ske omedelbart. Återställning är också en del som behöver bli bättre, för att kunna säkra att verksamheten kan fortsätta efter att det skett en incident. Det behövs dessutom en överblick över allt som händer på nätverket och en loggning av det samma, så att det går att i efterhand lägga fast vad som skett.

Detta blir särskilt viktigt eftersom företagen förväntas kunna rapportera varje enskild incident av betydelse till nationella myndigheter. Detta hänger även ihop med att direktivet kräver att företag utser en ansvarig person för cybersäkerhet och att de genomför regelbundna säkerhetskontroller och riskbedömningar.

Vi har 1 år och 7 månader på oss
Den 17 oktober 2024 måste NIS2-direktivet vara infört i nationell lagstiftning om cybersäkerhet. Därmed justeras och ersätts tidigare svensk lagstiftning på området.

När lagen införts kommer företagen och verksamheterna alltså behöva rapportera incidenter som skett. Det står tydligt hur snabbt rapporteringen ska ske, inte sällan handlar det om 24 eller 72 timmar när det inträffat en allvarligare incident. Dessutom kommer verksamheterna utsättas för uppföljningar och revisioner, och dessa kommer samordnas av nationella myndigheter.

Även den nationella nivån behöver stärkas
För att hantera det här behöver även myndigheterna stärkas. Det behövs mer satsningar som koordinerar och styr cybersäkerheten på nationell nivå. Sverige har infört ett Nationellt Cybersäkerhetscenter men sannolikt kommer det även här krävas mer.

Sverige är ett land där kritiska verksamheter har råd att satsa på säkerheten, men de behöver veta vilka kraven är och hur de kan möta dem. Likaså behöver de stöd i hur incicernter ska hanteras.

De intrång som sker kan dessutom spridas. Från en verksamhet till nästa verksamhet. Därför behöver man lära sig av varandra på nationell nivå, och förstås även på internationell nivå.

Slutsatsen är alltså att det på flera nivåer kommer krävas stora investeringar. Det här är en besvärlig och kostsam process, men i längden är det bra eftersom verksamheter som följer NIS2-direktivet kommer ha en lägre risk att drabbas av cyberattacker. Samhället kommer slippa onödiga avbrott i viktig service och riskerna att allmänheten drabbas minskar.

Roman Cupka har under mer än 15 år arbetat med nätverk, infrastruktur och cybersäkerhet. På senare år har han fokuserat på säkerhetsarkitektur och speciellt på nätverksövervakning, dataanalys