Foodhills, Tillmobil och Sysav är bara några av alla bolag som kan påverkas av den kommande cybersäkerhetslagens skärpta krav. Men vetskapen om kraven varierar.
Den nya lagen stiftas för att leva upp till EU-direktivet NIS2, med skärpta krav på fler aktörer att dokumentera och rapportera sitt arbete med cybersäkerhet. NIS står för nätverks- och informationssystem.
NIS2-direktivet är en uppföljning på NIS-direktivet från 2016. Syftet är att öka den gemensamma nivån på cybersäkerhet inom EU genom att ställa krav på samhällsviktiga verksamheter att vidta säkerhetsåtgärder och rapportera incidenter av brister eller intrång.
Det nya direktivet adderar elva branscher eller sektorer till de sju som omfattades av första NIS-direktivet. (Se hela listan nedan.) Dessutom klargör unionen att kraven gäller hela verksamheterna, snarare än bara de samhällsviktiga funktionerna.
Det kan även innefatta underleverantörer. Så även om tröskeln för att omfattas av direktivet är relativt hög – minst 50 anställda eller 10 miljoner euro i omsättning – så kan mindre bolag i förlängningen också påverkas.
Ett sådant är Foodhills i Bjuv, som är sprunget ur den före detta Findus-verksamheten på orten och i dag fokuserar på att sälja frysta gröna ärtor. Livsmedelsbranschen är nämligen en av de nya sektorerna i NIS2.
– Jag är inte insatt i det här direktivet, men självklart funderar man på de här frågorna. Vad händer exempelvis om våra system blir hackade under skördeperioden? Det skulle få stora konsekvenser. I dag arbetar vi med traditionella verktyg som brandväggar och vpn:er, men vi har inte gått djupare än så, säger Foodhills vd Karl Vilhelm Beckman.
“Förvaltning av IKT-tjänster mellan företag”, det vill säga informations- och kommunikationstjänster, är en annan av de nya sektorerna i NIS2.
Malmöbaserade telekombolaget Tillmobil arbetar tillsammans med landets stora telefonoperatörer och litar på att de sköter säkerheten.
– Vi är ett tjänsteföretag som säljer de stora telefonoperatörernas produkter. Gällande säkerheten så är det något som operatörerna står för och vi förutsätter att våra samarbetspartners gör sitt jobb, säger Tillmobils vd Briar Karim.
Han vet inte om de nya kraven i förlängningen kan påverka Tillmobil, till exempel genom utökade krav från operatörerna. Men han välkomnar de nya reglerna.
– Kommer det nya direktiv och regler så rättar vi oss efter det och behöver vi vidta åtgärder så gör vi det. Vi välkomnar nya EU-direktiv, det hjälper till att få bort oseriösa aktörer, säger Briar Karim.
Ett företag som redan har börjat kartlägga sina underleverantörers cybersäkerhet är Sysav i Malmö. Avfallsbranschen är också en av de nya sektorerna i NIS2. Enligt Sysavs IT-chef Martin Hultström har bolagets underleverantörer varierande kunskaper om de nya reglerna.
– Vi måste arbeta med säkerhet i hela leverantörskedjan och har i dag en dialog med våra leverantörer om hur de arbetar med dessa frågor. Vi har också anlitat ett företag som hjälper oss att kartlägga leverantörernas cybersäkerhetsarbete, säger Martin Hultström.
Direktivet ställer även krav på att incidenter ska rapporteras till MSB. Ställer ni sådana krav på era underleverantörer?
– Vi håller på att arbeta in sådana klausuler i avtalen, om revision och säkerhetskontroller till exempel. Men det tar lite tid att hitta formen och komma överens, även om de flesta leverantörer är positiva till att bidra till en ökad säkerhet.
Direktivet handlar både om cybersäkerhet, som syftar på rent tekniska skydd så som antivirus och brandväggar, och informationssäkerhet som handlar om att skydda all typ av information, oavsett media. Detta inkluderar att säkerställa att den lagrade informationen är riktig och tillgänglig för de som behöver den. Sysav arbetar enligt Martin Hultström både med cyber- och informationssäkerhet.
– Direktivet efterfrågar systematik och inom cybersäkerhet det har vi jobbat med det länge, med fokus på att arbeta proaktivt snarare än reaktivt. Nu arbetar vi med att öka systematiken i vårt arbete med informationssäkerhet också, säger Martin Hultström.
Martin Linderoth Emiliano Strauss
SEKTORER i NIS1
Tillsynsmyndigheter
Energi
Statens energimyndighet
Hälso- och sjukvård
Inspektionen för vård och omsorg & Läkemedelsverket
Digital infrastruktur
Post- och telestyrelsen
Transport
Transportstyrelsen
Distribution av dricksvatten
Livsmedelsverket
Bankverksamhet
Finansinspektionen
Finansmarknadsinfrastruktur
Finansinspektionen
Nya SEKTORER i NIS2
Tillsynsmyndigheter
Offentlig förvaltning
Länsstyrelser*
Tillverkning
Transportstyrelsen & Läkemedelsverket & Länen*
Produktion, bearbetning och distribution av livsmedel
Livsmedelsverket
Produktion och distribution av kemikalier
Länsstyrelser*
Post- och budtjänster
Post- och telestyrelsen
Digitala leverantörer
Post- och telestyrelsen
Avloppsvatten
Livsmedelsverket
Avfallshantering
Länsstyrelser*
Förvaltning av telekomtjänster mellan företag
Post- och telestyrelsen
Forskning
Länsstyrelser*
Rymden
Post- och telestyrelsen
*Med ”Länsstyrelser” åsyftas Länsstyrelserna i Stockholm, Västra Götaland, Norrbotten och Skåne.
Foodhills, Tillmobil och Sysav är bara några av alla bolag som kan påverkas av den kommande cybersäkerhetslagens skärpta krav. Men vetskapen om kraven varierar.
Den nya lagen stiftas för att leva upp till EU-direktivet NIS2, med skärpta krav på fler aktörer att dokumentera och rapportera sitt arbete med cybersäkerhet. NIS står för nätverks- och informationssystem.
NIS2-direktivet är en uppföljning på NIS-direktivet från 2016. Syftet är att öka den gemensamma nivån på cybersäkerhet inom EU genom att ställa krav på samhällsviktiga verksamheter att vidta säkerhetsåtgärder och rapportera incidenter av brister eller intrång.
Det nya direktivet adderar elva branscher eller sektorer till de sju som omfattades av första NIS-direktivet. (Se hela listan nedan.) Dessutom klargör unionen att kraven gäller hela verksamheterna, snarare än bara de samhällsviktiga funktionerna.
Det kan även innefatta underleverantörer. Så även om tröskeln för att omfattas av direktivet är relativt hög – minst 50 anställda eller 10 miljoner euro i omsättning – så kan mindre bolag i förlängningen också påverkas.
Ett sådant är Foodhills i Bjuv, som är sprunget ur den före detta Findus-verksamheten på orten och i dag fokuserar på att sälja frysta gröna ärtor. Livsmedelsbranschen är nämligen en av de nya sektorerna i NIS2.
– Jag är inte insatt i det här direktivet, men självklart funderar man på de här frågorna. Vad händer exempelvis om våra system blir hackade under skördeperioden? Det skulle få stora konsekvenser. I dag arbetar vi med traditionella verktyg som brandväggar och vpn:er, men vi har inte gått djupare än så, säger Foodhills vd Karl Vilhelm Beckman.
“Förvaltning av IKT-tjänster mellan företag”, det vill säga informations- och kommunikationstjänster, är en annan av de nya sektorerna i NIS2.
Malmöbaserade telekombolaget Tillmobil arbetar tillsammans med landets stora telefonoperatörer och litar på att de sköter säkerheten.
– Vi är ett tjänsteföretag som säljer de stora telefonoperatörernas produkter. Gällande säkerheten så är det något som operatörerna står för och vi förutsätter att våra samarbetspartners gör sitt jobb, säger Tillmobils vd Briar Karim.
Han vet inte om de nya kraven i förlängningen kan påverka Tillmobil, till exempel genom utökade krav från operatörerna. Men han välkomnar de nya reglerna.
– Kommer det nya direktiv och regler så rättar vi oss efter det och behöver vi vidta åtgärder så gör vi det. Vi välkomnar nya EU-direktiv, det hjälper till att få bort oseriösa aktörer, säger Briar Karim.
Ett företag som redan har börjat kartlägga sina underleverantörers cybersäkerhet är Sysav i Malmö. Avfallsbranschen är också en av de nya sektorerna i NIS2. Enligt Sysavs IT-chef Martin Hultström har bolagets underleverantörer varierande kunskaper om de nya reglerna.
– Vi måste arbeta med säkerhet i hela leverantörskedjan och har i dag en dialog med våra leverantörer om hur de arbetar med dessa frågor. Vi har också anlitat ett företag som hjälper oss att kartlägga leverantörernas cybersäkerhetsarbete, säger Martin Hultström.
Direktivet ställer även krav på att incidenter ska rapporteras till MSB. Ställer ni sådana krav på era underleverantörer?
– Vi håller på att arbeta in sådana klausuler i avtalen, om revision och säkerhetskontroller till exempel. Men det tar lite tid att hitta formen och komma överens, även om de flesta leverantörer är positiva till att bidra till en ökad säkerhet.
Direktivet handlar både om cybersäkerhet, som syftar på rent tekniska skydd så som antivirus och brandväggar, och informationssäkerhet som handlar om att skydda all typ av information, oavsett media. Detta inkluderar att säkerställa att den lagrade informationen är riktig och tillgänglig för de som behöver den. Sysav arbetar enligt Martin Hultström både med cyber- och informationssäkerhet.
– Direktivet efterfrågar systematik och inom cybersäkerhet det har vi jobbat med det länge, med fokus på att arbeta proaktivt snarare än reaktivt. Nu arbetar vi med att öka systematiken i vårt arbete med informationssäkerhet också, säger Martin Hultström.
Martin Linderoth Emiliano Strauss
SEKTORER i NIS1
Tillsynsmyndigheter
Energi
Statens energimyndighet
Hälso- och sjukvård
Inspektionen för vård och omsorg & Läkemedelsverket
Digital infrastruktur
Post- och telestyrelsen
Transport
Transportstyrelsen
Distribution av dricksvatten
Livsmedelsverket
Bankverksamhet
Finansinspektionen
Finansmarknadsinfrastruktur
Finansinspektionen
Nya SEKTORER i NIS2
Tillsynsmyndigheter
Offentlig förvaltning
Länsstyrelser*
Tillverkning
Transportstyrelsen & Läkemedelsverket & Länen*
Produktion, bearbetning och distribution av livsmedel
Livsmedelsverket
Produktion och distribution av kemikalier
Länsstyrelser*
Post- och budtjänster
Post- och telestyrelsen
Digitala leverantörer
Post- och telestyrelsen
Avloppsvatten
Livsmedelsverket
Avfallshantering
Länsstyrelser*
Förvaltning av telekomtjänster mellan företag
Post- och telestyrelsen
Forskning
Länsstyrelser*
Rymden
Post- och telestyrelsen
*Med ”Länsstyrelser” åsyftas Länsstyrelserna i Stockholm, Västra Götaland, Norrbotten och Skåne.
För att läsa resten av artikeln behöver du vara prenumerant och inloggad
Bli en del av vårt exklusiva nätverk och få koll på vad som händer i Skåne och Öresundsregionen. Var alltid uppdaterad när du talar med dina affärskontakter. Nytta, nöje, inspiration.
