I syfte att harmonisera och förbättra företagens IT-säkerhet, kräver det nya EU-direktivet NIS 2 att fler ekonomiska intressenter uppfyller sina skyldigheter i ämnet. Vincent Bazillio, Global Business Development Manager – Cybersecurity, från varumärket Axians, hjälper oss att förstå problemet bättre.
Det är en verklig milstolpe för hur ekonomiska organisationer ska tänka kring cyberskydd och förebyggande strategier som kan motverka riskerna. Det europeiska direktivet NIS 2 (Network and Information Security) trädde i kraft den 17 oktober 2024 och gör i första hand företagen ansvarsutkrävande gällande digital säkerhet.
Det nya regelverket följer det tidigare NIS 1-direktivet från 2016 och ökar kraven på organisationerna. Den första versionen vände sig huvudsakligen till väsentliga tillhandahållare av tjänster inom sju olika branscher, men NIS 2-direktivet breddar sitt tillämpningsområde och inbegriper privata företag, kommunala bolag, forskningsinstitut, vårdcentraler, osv, inom arton olika branscher.
Totalt sett, berör direktivet nu inte bara några hundratal entiteter, utan snarare närmare 15 000 som kan fördelas inom två stora separata kategorier: väsentliga entiteter, där de stora företagen innefattas och viktiga entiteter, vilket inbegriper fler små och mellanstora företag.
Ny skala
”NIS 2 kommer med ett nytt 360-gradigt sätt för företagen att hantera risker på, eftersom de nu måste vidta cybersäkerhetsåtgärder för samtliga funktionella och operativa nivåer, från FoU till supporttjänster via industriella verksamheter och infrastrukturer. Det nya direktivets krav ska dessutom tillämpas på underleverantörer och leverantörer, vilket innebär att då man tidigare byggde borgliknande skydd, skapar man nu säkra nätverk, mycket öppna nätverk som sträcker sig vida över företagets gränser”, summerar Vincent Bazillio, Global Business Development Manager – Cybersecurity på Axians, VINCI Energies’ IT-varumärke.
”Cybersäkerhet ska vara sammanhängande och konsekvent.”
Arbetet utförs nu på en helt annan skala och det tvingar företagen att bygga stabila färdkartor och att sätta samman bestämda handlingsplaner. NIS 2-direktivet nöjer sig inte med att sätta ett ramverk, utan det föreskriver även ekonomiska sanktioner i händelse av överträdelser av det nya regelverket som kan uppgå till tio miljoner euro eller 2 % av den globala omsättningen för väsentliga entiteter och upp till sju miljoner euro eller 1,4 % av den totala omsättningen för viktiga entiteter.
Numera måste företagen rapportera incidenter som anses vara ”viktiga” inom 24 timmar. Gällande väsentliga entiteter måste sådana varningar följas upp av en mer utförlig beskrivning inom 72 timmar och sedan leda till en detaljerad rapport inom 30 dagar.
En medveten cyberkultur
Ingen mening med att gripas av panik dock. NIS 2-direktivets syfte är inte att betunga företagen, utan att påskynda omställningen mot en väletablerad cyberkultur som är medveten om riskerna. Dock ska vi skynda långsamt! ”Cybersäkerhet ska vara sammanhängande och konsekvent, det är något som införlivas successivt och som hela tiden ska anpassas. Därför måste implementeringen ske steg för steg. Det börjar med en kartläggning av samtliga verksamheter och yrkesroller för att kunna identifiera varje företags specifika säkerhetsbehov och bäst bedöma eventuella konsekvenser som en cyberattack skulle kunna få för verksamheten och därefter definieras en kontinuitetsplan”, förtydligar Vincent Bazillio.
Alla företag arbetar heller inte enligt samma förutsättningar. Väsentliga entiteter har sedan länge utarbetat regelefterlevnaden inom detta område och har de nödvändiga interna resurser som krävs för att kontrollera verktygen och processerna, men för små och medelstora företag kan det i många fall vara nödvändigt att ta in extern hjälp.
”Återigen ser behoven annorlunda ut från en struktur till en annan. Det handlar inte om att sätta upp brandväggar hursomhelst, utan att lära företagen tänka kring denna typ av riskanalys och att hjälpa dem prioritera strategiska åtgärder att vidta på rätt sätt, enligt en intern och långsiktig vision. Det är själva säkerhetsgarantin, men också tecken på deras motståndskraft i händelse av en cyberattack”, understryker Vincent Bazillio.
15/07/2025
