Vad innebär NIS2 för vårt cybersäkerhetsarbete?
Det har skrivits mycket om den kommande NIS2.0, men relativt lite om vad regleringen kommer att innebära konkret för de verksamheter som träffas. I och med NIS2s utökade tillämpningsområde kommer antalet organisationer som träffas av bestämmelserna kraftigt att öka – förmodligen minst fördubblas i Sverige. Det har också tillkommit ett större krav på styrelser både när det gäller ansvar och kompetens inom cybersäkerhet. Vi kommer här kort redogöra för de nya kraven och avsluta med några reflektioner.
Krav på styrelser
NIS2 riktar in sig på högsta styrande organet i verksamheten som exempelvis bolagsstyrelsen, nämnden, kommunstyrelsen. Denna styrelse ska
-
godkänna verksamhetens valda säkerhetsåtgärder,
-
övervaka införandet av säkerhetsåtgärderna och
-
kunna hållas ansvarig vid bristande efterlevnad gällande vidtagna säkerhetsåtgärder.
Detta innebär att mycket konkreta frågor kring cybersäkerhet kommer att behandlas i de styrande organen, eftersom nya eller borttagna säkerhetsåtgärder behöver beslutas av styrelsen (punkt 1) samt att styrelsen behöver inhämta uppgifter om status på införande i olika delar av organisationen (punkt 2). Bestämmelsen kring ansvar vid bristande efterlevnad (punkt 3) ska inte tolkas som att den påverkar folkvalda eller tjänstemäns personliga ansvar.
Krav på enskilda ledamöter i styrelser
Ledamöter i styrelser ska genomgå utbildning inom cybersäkerhet med målet att erhålla tillräckliga kunskaper och färdigheter för att få förmåga att
-
analysera och hantera risker mot verksamhetens cybersäkerhet och
-
analysera hur styrningen av verksamheten påverkar cybersäkerheten för levererade tjänster.
Medlemsländer ska på olika sätt uppmuntra verksamheterna att tillhandahålla motsvarande utbildning i cybersäkerhet regelbundet till samtliga anställda.
Krav på säkerhetsåtgärder för cybersäkerhet
NIS2 fastslår dels på vilka grunder säkerhetsåtgärder för cybersäkerhet ska väljas och listar dels även ett antal säkerhetsåtgärder som ett obligatoriskt minimum. Följande säkerhetsåtgärder ska samtliga verksamheter som träffas av regleringen införa:
-
Riskanalys och informationssäkerhetspolicyer
-
Incidenthantering
-
Verksamhetskontinuitet (såsom backuphantering, katastrofåterställning) och krishantering
-
Säkerhet i leveranskedjan innefattandes hantering av säkerhetsaspekter i relationen mellan verksamheten och dess leverantörer och tjänsteleverantörer
-
Säkerhet vid anskaffning, utveckling och förvaltning av datanätverk och informationssystem, inklusive hantering och tillkännagivande av sårbarheter
-
Policyer och rutiner för bedömning av valda säkerhetsåtgärders ändamålsenlighet för cybersäkerheten i verksamheten
-
Grundläggande rutiner för datasäkerhet och utbildning i cybersäkerhet
-
Policyer och rutiner gällande kryptografi samt, där så lämpligt, kryptering
-
Säkerhet inom personal/HR, åtkomstpolicyer samt hantering av tillgångar
-
Användning av flerfaktorsautentisering eller lösningar för kontinuerlig autentisering, säkra video, röst och textkommunikationer inom verksamheten, där så lämpligt.
Ytterligare säkerhetsåtgärder
Förutom ovanstående säkerhetsåtgärder ska verksamheten välja lämpliga och proportionerliga tekniska, organisatoriska och operationella säkerhetsåtgärder. I valet vad som är lämpligt och proportionerligt ska följande faktorer beaktas:
Riskrelaterade faktorer
- Verksamhetens riskexponering gällande cybersäkerhet generellt
- Sannolikheten för att incidenter inträffar
- I vilken grad incidenter kan tänkas påverka samhället och ekonomin
- Verksamhetens omfattning
Andra faktorer
- State of the art (de senaste lösningarna/kunskaperna för att möta risken)
- Europeiska och internationella standarder för cybersäkerhet
- Säkerhetsåtgärdernas kostnadseffektivitet
Sammantaget ska de listade och de valda säkerhetsåtgärderna på ett bra sätt hantera riskerna. Som vanligt kommer detta att kräva någon form av riskanalys. Det kan vara värt att påpeka att NIS2s definition på risker som ska hanteras inom området cybersäkerhet inte avgränsar sig till antagonistiska hot utan innefattar “all-hazards”, dvs. hot som kan härledas från mänskliga misstag, översvämning, brand och dylikt.
Reflektioner
-
Mer ansvar läggs på verksamhetens högsta styrande organ – de ska både godkänna och kontrollera införandet av säkerhetsåtgärder och ansvarar för avvikelser.
-
Utbildning inom cybersäkerhet krävs på alla nivåer – från styrelserummet till den dagliga verksamheten.
-
Kravet på riskanalys och styrning av cybersäkerheten i form av policyer tydliggörs.
-
Det är tydligt hur säkerhetsåtgärder ska väljas och en lista på obligatoriska åtgärder som alla ska införa finns.
-
Kommissionen ges också mandat att komplettera direktivet med föreskrifter om ytterligare säkerhetsåtgärder.
Begreppen ”operations” och ”operational”
Ett begrepp som möjligen kan vålla lite huvudbry vid tolkning är ”operations”/”operational”. De säkerhetsåtgärder som ska vidtas ska gälla för de datanätverk och informationssystem vilka används av organisationen för deras verksamhetsdrift (eng. ”operations”) och för tillhandahållandet av deras tjänster. Det förefaller oklart ifall detta ska anses innefatta alla nätverk och system inom ramen för verksamhetens bedrivande generellt eller om det – som i NIS1 – ska tolkas som att gälla endast en delmängd av dessa.
Tanken med att lägga till begreppet ”operations” kan ha varit att peka på att tillämpningsområdet i synnerhet innefattar OT (operational technology) snarare än endast IT generellt. Dock, eftersom kontexten är en beskrivning av en organisations ”operations”, så finns risk att tolkningen blir verksamhetsdriften i allmänhet (”business operations”) och då blir tillämpningsområdet inom en given organisation betydligt bredare.
Samma problematik finns vad gäller de uppräknade kategorierna av säkerhetsåtgärder. Man nämner ”technical”, organisational” och ”operational” som kategorier av åtgärder. Det förefaller oklart vad som avses med ”operational” även här. De två första kategorierna anses normalt i annan rättslig reglering täcka in alla tänkbara typer av åtgärder.
Lite tillspetsat kan man säga att begreppen ”operational”/”operations” antagit skilda betydelser inom de olika ämnesområdena företagsstrategi, informationsteknik och riskhantering. I NIS2-dokumentet används begreppen på flera olika sätt i de olika sammanhangen.
Begreppet ”management body”
Det ledningsorgan i organisationen som träffas av flera bestämmelser kallas på engelska ”management body”. Termen har en precis betydelse inom vissa områden, exempelvis inom bank- och finans. I en NIS2-kontext kan ledningsorganet se lite olika ut beroende på vilken typ av verksamhet det handlar om. Det kan vara bolagsstyrelsen, en nämnd eller en styrelse som enligt nationell lag är utsedd att ha en specifik roll gällande beslut om verksamhetens inriktning. I vissa undantagsfall kan ”management body” utgöras av en enda fysisk person. En väsentlig fråga gällande tolkningen av ”management body” är om det är någon form av styrelse eller om det är högsta ledningen (ex. Kommundirektör, GD, VD, CFO) som avses. Såvitt vi kan förstå riktar man in sig på ”governance”-nivån snarare än ”management”-nivån, så det är fråga om styrelser och nämnder snarare än ledningsgruppen.
Avgränsningar
-
Denna bloggpost utgår från det utkast som tillgängliggjordes under sommaren (daterat 2022-06-22). I artiklarna 17 (styrning) och 18 (säkerhetsåtgärder) återfinns bestämmelser kring hur cybersäkerheten ska styras i de verksamheter som träffas av NIS2.
-
Det pågår en process i EU där de här bestämmelserna ytterligare kan komma att preciseras och sedan ska direktivet genomföras i svensk lag med svensk terminologi.
-
Vissa begrepp och formuleringar i utkastet är svåra att tolka även med insyn i tidigare förhandlingar och diskussioner.
-
Den här texten tar inte med bestämmelser omkring incidentrapportering vilka tillkommer.
-
Den här texten tar inte med frågan om vilka verksamheter som träffas av bestämmelserna i NIS2.
Planerade blogginlägg
-
Införandeprocessen – vad händer efter beslut i EU?
-
Förändringar för aktiebolag (privat eller offentlig enhet)