Farligt att arbetet med cybersäkerhet går så långsamt

Digitaliseringen i samhället går snabbare än säkerhetsutvecklingen. Det är något som vi som jobbar med cybersäkerhet kan skriva under på. Lägg till en allmänt ökad hotbild, fortsatt snabb teknikutveckling med AI i fokus och dessutom ökad kompetensbrist. Nya direktiv och lagar piskar organisationer att komma i kapp och i höst kulminerar det när EU:s säkerhetsdirektiv NIS 2 blir svensk lag. Det innebär att tempot i säkerhetsarbetet måste höjas väsentligt.

Ny lag ställer hårda krav

Det ursprungliga NIS-direktivet innehöll en process för regelbunden granskning av organisationens innehåll. Med NIS 2 tas ytterligare ett steg för att skapa en gemensam förståelse mellan medlemsstater och sektorer gällande de hot och utmaningar som finns, och därmed en gemensam krishantering. Målet är att skapa en hög så kallad cyberresiliens, en motståndskraft för cyberattacker och att snabbt kunna återgå till normal kapacitet efter en attack mot samhällskritiska funktioner.

NIS 2 omfattar därför fler sektorer och även organisationernas underleverantörer. Ett exempel är tillverkande företag som kan betraktas som samhällsviktiga. Men ingen myndighet kommer på förhand att påtala att ett enskilt företag omfattas av den nya lagen.

Sammantaget har svenska organisationer väldigt kort tid för att uppnå full dokumentation kring sin informationssäkerhet. 

Organisationerna förväntas själva göra den analysen och sedan förbereda sig. Som underleverantör kan det också uppstå diskussioner, då kundansvariga och jurister behöver ta hand om en mängd kunder som plötsligt vill omförhandla avtal för att kunna ställa vassare krav på säkerhet. För de leverantörer som snabbt kan visa att de är en värdig NIS 2-leverantör innebär det förstås också möjligheter.

”En riktigt tuff resa”

Det betyder att EU-direktivet kommer att påverka företag och organisationer väldigt olika beroende på bransch och hur långt de har kommit i säkerhetsarbetet. Uppfyller man redan dagens NIS-direktiv så blir påverkan något mindre. Men för många kommer det att bli en riktigt tuff resa. Och det brådskar. När direktivet blir lag i oktober kan överträdelser innebära väldigt kostnadskrävande sanktioner.

De organisationer som redan har en så kallad asset management-lösning som håller ordning på alla system och beroenden dem emellan har redan kommit långt. Men vår erfarenhet är att många organisationer snarare förlitar sig på en eldsjäl som har upprättat ett excelark över systemen man har. Oavsett hur man har upprättat sin nuvarande dokumentation, innebär NIS 2 krav på en nivå som väldigt få organisationer lever upp till i dag. Bland annat handlar det om att genomföra regelbundna säkerhetsanalyser. Det är en process som kan ta alltifrån en vecka till ett halvår att genomföra, räknat på en heltidstjänst. Hur lång tid det tar vet man sällan på förhand.

Men för att bättre förstå varför det brådskar, låt mig ge ett litet räkneexempel. Den 18 oktober träder lagen i kraft. Det är dag nummer 290 i kalendern, helger inkluderade. Det innebär att för de organisationer som har behov av en mer omfattande säkerhetsanalys, uppåt ett halvår, då bara har drygt 100 dagar kvar (inklusive helger) räknat från årets början till att genomföra de åtgärder som krävs. Vanligen brukar också en säkerhetsanalys resultera i en så kallad teknisk skuld, vilket skapar merarbete utöver de absolut nödvändiga åtgärderna.

Det brådskar

Sammantaget har svenska organisationer väldigt kort tid för att uppnå full dokumentation kring sin informationssäkerhet – hur det ser ut i dag, vad man arbetar med rent konkret och vad man planerar att göra framåt. Det är nämligen det som en tillsynsmyndighet kommer att vilja se, på detaljnivå, vid en tillsyn. Här måste man också inkludera hur man säkrar att partners och underleverantörerna gör det de ska och att de uppfyller alla krav.

Nu är det februari. Det brådskar, men det går att lyckas.