Det nya NIS2-direktivet trädde i kraft den 18 oktober 2024 och skärper kraven på cybersäkerhet inom flera branscher. Många företag är oförberedda – men vad innebär reglerna i praktiken, och hur kan företag snabbt anpassa sig?
Amanda Lövström, Senior Legal Counsel på säkerhetsföretaget Truesec, reder ut vad som gäller och berättar vilka steg företag bör ta nu.
NIS 2 är på väg, men många företag verkar fortfarande osäkra på vad det innebär. Är vi sena på bollen?
– Jag skulle inte säga att vi är sena på bollen, men vi har heller inte fått några tydliga indikationer tidigare under året om exakt hur direktivet ska implementeras i Sverige. Betänkandet kom förra året, men Sverige är långt ifrån ensamt i att fortfarande navigera genom denna process.
Eftersom NIS 2 kombinerar juridik och teknik, innebär det att varje land måste hitta en egen väg för att tillämpa reglerna inom sina rättssystem. Det gör det här till en stor och komplex fråga, säger Amanda Lövström.
Vad är egentligen det stora syftet med NIS 2?
– Målet är att höja nivån på cybersäkerheten i hela EU och få en jämnare standard mellan medlemsländerna. Tidigare har cybersäkerhetskraven varierat mycket mellan olika länder, vilket har skapat inkonsekvenser och sårbarheter.
Nu försöker EU skapa en starkare och mer enhetlig strategi. Samtidigt har det hänt otroligt mycket inom cybersäkerhetsområdet under de senaste åren – vi ser mer avancerade hot, en större beroendekedja mellan företag och en ökad förståelse för hur bristande krishantering kan leda till stora skador. NIS 2 syftar till att minska dessa risker och göra oss mer motståndskraftiga.
Vilka omfattas egentligen av NIS 2?
– Huvudregeln är att både offentliga och privata aktörer som levererar samhällsviktiga tjänster omfattas. Organisationen måste sysselsätta fler än 49 anställda eller en omsättning över 10 miljoner euro kan omfattas, men det finns viktiga undantag. Totalt är 18 sektorer direkt berörda, inklusive industri, transport, energi, livsmedel och digital infrastruktur.
Dessutom införs skärpta krav på leverantörskedjor, vilket innebär att även underleverantörer kan påverkas. Om man är en del av en större kedja kommer kraven sannolikt att spilla över, vilket betyder att även mindre bolag måste förbereda sig.
Vad händer om företag inte följer reglerna?
– Det finns flera nivåer av sanktioner. Tillsynsmyndigheterna kan utfärda anmärkningar, förelägganden och förbud. I vissa fall kan ledningen förbjudas att utöva sin funktion, vilket är liknande ett näringsförbud enligt svensk aktiebolagslag. I andra länder diskuteras även straffrättsliga konsekvenser, men det ser vi inte i Sverige just nu.
Bötesnivåerna är också kännbara. Ett företag som inte uppfyller kraven kan få en sanktionsavgift på två procent av den globala omsättningen, eller tio miljoner euro.
– Poängen är att visa att EU ser allvarligt på det här. Det handlar inte om att bara ”kryssa av” säkerhetsåtgärder, utan att faktiskt implementera dem på riktigt. Om tillsynsmyndigheten knackar på måste företaget kunna visa upp en faktisk efterlevnad, annars kan konsekvenserna bli kännbara.
Vad är det första steget för företag som ännu inte har börjat arbeta med NIS 2?
– Börja uppifrån. Få med ledningen och skapa en förståelse för varför cybersäkerhet är en affärskritisk fråga. Samarbeta med olika avdelningar för att bygga en strategi som skapar värde – det är ingen IT-fråga isolerat, utan något som påverkar hela verksamheten.
Är det rimligt att företag försöker lösa detta på egen hand?
– Nej, alla bolag har inte kompetensen att hantera cybersäkerhet internt, och det är helt okej. Det är bättre att ta hjälp av experter, som exempelvis säkerhetsteam eller externa konsulter, än att slösa tid på att försöka lösa det man inte behärskar. Men innan man letar efter en expert bör man först förstå sin egen verksamhet och identifiera vilka risker man faktiskt har.
Amanda avslutar med att vikten av att tänka långsiktigt:
– Det här handlar inte om en tillfällig regel, utan en förändring av hur företag hanterar cybersäkerhet. Vi ser fler lagar på gång från EU, och NIS 2 är bara början. Företag som nu anpassar sig kommer att ha ett försprång när nästa våg av cybersäkerhetsregler rullas ut.
5 steg enligt Amanda för att snabbt komma i kapp med NIS 2:
Steg 1: Gör en riskbedömning
– Identifiera era mest kritiska system och bedöm potentiella hot. Prioritera de största säkerhetsbristerna först.
Steg 2: Implementera grundläggande cybersäkerhet
– Använd multifaktorautentisering (MFA), uppdatera brandväggar, antivirus och säkerhetskopiera system regelbundet.
Steg 3: Skapa en incidenthanteringsplan
– Fastställ vem som ansvarar för säkerhetsscenarier och testa er incidentrespons regelbundet.
Steg 4: Stärk leverantörssäkerheten
– Kartlägg era kritiska leverantörer, ställ säkerhetskrav i avtal och genomför säkerhetsrevisioner.
Steg 5: Utbilda personalen
– Skapa en säkerhetskultur genom regelbunden utbildning och träning. ”Har man tränat, blir inte krisen lika stor,” påpekar Amanda.
Om Amanda Lövström
Titel: Senior Legal Counsel på Truesec
Expertis: IT-rätt, cybersäkerhet, regulatoriska frågor
Insikt: ”Cybersäkerhet är en affärskritisk fråga – inte bara ett IT-problem.”
