Höga krav på företags och organisationers säkerhet

Cybersäkerhet är fortsatt en central fråga i både EU och Sverige. Två nya regelverk – NIS2 och CER-direktivet – sätter ramarna för hur organisationer måste arbeta med riskhantering, incidenthantering och resiliens.

NIS2-direktivet ställer krav på att företag och offentliga aktörer som driver samhällsviktiga eller särskilt viktiga tjänster, systematiskt hanterar risker kopplade till nätverk och informationssystem, genom både tekniska och organisatoriska säkerhetsåtgärder. Ledningen får ett tydligt ansvar för att säkerhetskraven efterlevs, vilket innebär att brister kan få rättsliga konsekvenser. Direktivet omfattar även leverantörskedjorna, där organisationer måste bedöma och minimera risker hos sina externa partners.

Den nya cybersäkerhetslagen, NIS2 skulle egentligen ha införts i Sverige senast i oktober 2024, men processen är försenad och NIS2 väntas nu träda i kraft i januari 2026. För företag betyder det en tidsfrist, men inte ett frikort – kraven på att förbereda sig gäller redan nu.

De organisationer som börjar arbeta enligt ISO 27001 och bygger tydliga kontinuitetsplaner ligger steget före när NIS2 väl träder i kraft. Genom att implementera och arbeta med ISO 27001 skapas en strukturerad metod för att säkerställa efterlevnad av NIS2. ISO 27001 fungerar som en vägledning eftersom certifieringen innehåller centrala delar som är avgörande för att möta direktivets krav.

ISO 27001:s riskbaserade arbetssätt ger företag en strukturerad metod för att identifiera, bedöma och hantera säkerhetsrisker i nätverk och informationssystem, vilket ligger i linje med NIS2:s krav. Det ger företag möjlighet att proaktivt identifiera hot, minska sårbarheter och stärka sin säkerhetsnivå, samtidigt som det fungerar som en praktisk vägledning för att uppfylla NIS2-direktivets krav.

CER-direktivet (Critical Entities Resilience Directive), som syftar till att stärka skyddet för samhällsviktig verksamhet, gäller inte heller formellt ännu i Sverige, men planen är att svensk lagstiftning förväntas träda i kraft kring årsskiftet 2025/2026. De organisationer som berörs behöver förbereda sig redan nu. Här är det inte bara cyberangrepp som står i fokus, utan även fysiska hot, naturkatastrofer och pandemier. CER-direktivet ska komplettera NIS2 med krav på incidenthantering, kontinuitetsplanering, fysisk säkerhet och personalsäkerhet.

Dessutom trädde EU:s certifieringsordning för cybersäkerhet, EUCC i kraft redan i februari 2024. Den gör det möjligt att certifiera IKT-produkter – hård- och mjukvara samt system och nätverk som hanterar, bearbetar och delar information digitalt. Detta kan på sikt bli en kvalitetsstämpel som kunder förväntar sig, ungefär som CE-märkningen.

För svenska företag innebär detta att arbetet med säkerhet måste professionaliseras. Det som tidigare kunde ses som frivilliga förbättringar är nu en del av framtida lagkrav och en förutsättning för konkurrenskraft.