En tsunami av nya cybersäkerhetslagar. Det var titeln på Compares senaste nätverksfrukost, som arrangerades inom Interreg Sverige-Norge-projektet Cross Border Cyber Capacity. Det finns många nya regler att ha koll på. Inte minst EU-direktiven NIS2 och CER. För att reda ut vad dessa innebär och hur de kommer påverka svenska verksamheter gästades eventet av Satu Björn, analytiker inom cybersäkerhet vid MSB, och Tomas Björn, vd för Aktiv IT, som bland annat hjälper företag med säkra IT-lösningar.
Satu förklarade att NIS2 syftar till att uppnå en hög gemensam cybersäkerhetsnivå i hela unionen, medan CER (Critical Entities Resilience) fokuserar på att stärka motståndskraften hos samhällsviktiga aktörer. NIS2 är med andra ord ett mer allmänt direktiv och kommer införlivas i Sverige genom Cybersäkerhetslagen, medan CER är ett komplement för kritiska entiteter.
Hur skiljer sig NIS2 från NIS?
- Fler omfattas (och hela organisationer)
- Kraftigare sanktioner
- Skarpare krav
- Ensad incidentrapportering
- Stärkt internationellt samarbete
- Paketlösning med CER-direktivet
Cybersäkerhetslagen är tänkt att träda i kraft 1 januari 2025. Satu konstaterade dock att Sverige inte kommer hålla denna deadline, utan tror snarare att lagen kommer träda i kraft någon gång närmare sommaren 2025. Men hon betonade vikten av att ha ett strukturerat cybersäkerhetsarbete på plats för att ligga steget före när lagen väl börjar gälla. MSB har flera digitala verktyg och rapporter som hjälper aktörer att följa NIS2-direktivet.
Sverige ligger i toppskiktet vad gäller digitaliseringsgrad, men är inte ens inom topp 20 sett till cybersäkerhet. Detta gap är av förklarliga skäl problematiskt och gör oss sårbara. Tomas Björn förklarar att gapet är ett resultat av att Sverige var snabba på bollen med att få in PC i hushållen och få igång fiber, men inte prioriterade säkerhetsaspekter. Många länder började i andra änden med att först få riktlinjer på plats och har därför gått om Sverige när det gäller cybersäkerhet.
Att göra-lista för företag
- Risk- och incidenthantering
- Backup och krishantering
- Säkerhet i leveranskedjan
- Löpande utvärdering
- Personlig säkerhet hos personal
- Åtkomstkontroll
- Krypteringspolicy
I sitt arbete ser Tomas på nära håll hur viktigt det är att företag har en digital beredskap. Han exemplifierade med en kund som nyligen utsatts för 170 908 intrångsförsök, under ett dygn. Utan brandväggar och säkerhetsrutiner hade det kunnat sluta ganska illa. För många företag slutar det illa. Tomas pekade på siffror som visar att fjolårets globala kostnad för cyberbrott var 87 biljoner kronor och jämförde med militära utgifter på 26 biljoner kronor. Kontentan är att konsekvenserna av cyberincidenter är mer kostsamma än insatser för att stärka sin cybersäkerhet. Så se till att ligga steget före.
Och glöm inte nästa nätverksfrukost 14 november på temat IoT.
