NIS2 i vardagen – när cybersäkerhetsdirektivet blir praktisk verkstad
Så påverkar de nya kraven små och medelstora leverantörer inom kritisk infrastruktur.
NIS2 – här är vad du som
underleverantör måste ha på plats
NIS2 ställer skärpta krav på cybersäkerhet och incidentrapportering för företag som levererar till kritisk infrastruktur. För små och medelstora leverantörer handlar det inte längre om frivilliga åtgärder, utan om att kunna uppvisa en fungerande riskhantering för att behålla sina kontrakt. Många har inte ens börjat, trots att tidsfristen närmar sig.
Om du som företagare levererar till en kommun, region, el-leverantör eller bank har du sannolikt redan börjat höra ordet NIS2. Kanske har du fått ett mejl från en kund som ber dig fylla i en enkät om cybersäkerhet, eller så har du sett branschorganisationer varna för att kraven skärps. Det är inte en engångsnyhet – signalen om implementeringen av NIS2 har setts flertalet gånger av oss med hög buzz, vilket betyder att det är en pågående anpassning som nu når operativ nivå.
Många mindre aktörer har fortfarande inte börjat, trots att tidsfristen är i antågande. Den här artikeln vänder sig därför till dig som inte själv är en kritisk verksamhet, men som måste kunna visa upp riskhantering och incidentrapportering för att få behålla dina kontrakt.
Konkreta fallgropar att undvika
Den vanligaste missuppfattningen är att NIS2 bara handlar om tekniska brandväggar och antivirusprogram. I själva verket är kravet på en dokumenterad riskanalys minst lika centralt. Utan en analys där du kan visa att du kartlagt vilka tillgångar som är mest känsliga och vilka hot du prioriterar, kommer du inte att klara en revision.
"NIS2 handlar inte om att undvika böter . Det handlar om att vara en trovärdig leverantör i en bransch där kravbilden skärps varje kvartal."
En annan fallgrop är incidentrapportering. Många företag har ingen rutin för när och hur en it-incident ska rapporteras, varken internt eller till kund. En försening på några timmar kan göra att kunden ifrågasätter hela er relation, Inom 24 timmar ska incidenten rapporteras in till IRON . Ta hjälp av branschorganisationer eller konsulter för att bygga en enkel men fungerande process redan nu.
Tre saker du bör ha på plats inom sex månader
För dig som är små eller medelstor leverantör finns det tre prioriterade åtgärder som gör stor skillnad. För det första: genomför en riskanalys och dokumentera den. Det behöver inte vara en 100-sidig rapport. En tydlig översikt av dina viktigaste tillgångar och de mest sannolika hoten räcker långt.
För det andra: upprätta en incidentrapporteringsrutin. Definiera vem som ska meddelas, när och hur. För det tredje: kartlägg din egen leverantörskedja. Om du använder underleverantörer måste du kunna visa att även de uppfyller grundläggande krav. Kommuner och regioner har redan börjat ställa dessa frågor i sina upphandlingar.
Läs mer
Är din organisation redo för NIS2 och nya cybersäkerhetslagen (SIS)
Mer om NIS-, NIS2- och CER-direktivet hos Sveriges Kommuner och Regioner
Avslutning
NIS2 är inte ett juridiskt krångel som du kan skjuta upp. Det är en praktisk verkstad som påverkar dina affärer här och nu. Den som väntar med att agera riskerar att förlora kontrakt innan sanktionerna ens hunnit införas. Börja med analysen i redan idag.
Relaterade områden
Efterlevnad av NIS2-direktivet för små och medelstora företag
