fredag 24 maj 2024

inloggad som

Även du kan påverkas av NIS2-direktivet 

Foodhills, Tillmobil och Sysav är bara några av alla bolag som kan påverkas av den kommande cybersäkerhetslagens skärpta krav. Men vetskapen om kraven varierar.

Den nya lagen stiftas för att leva upp till EU-direktivet NIS2, med skärpta krav på fler aktörer att dokumentera och rapportera sitt arbete med cybersäkerhet. NIS står för nätverks- och informationssystem. 

NIS2-direktivet är en uppföljning på NIS-direktivet från 2016. Syftet är att öka den gemensamma nivån på cybersäkerhet inom EU genom att ställa krav på samhällsviktiga verksamheter att vidta säkerhetsåtgärder och rapportera incidenter av brister eller intrång. 

Det nya direktivet adderar elva branscher eller sektorer till de sju som omfattades av första NIS-direktivet. (Se hela listan nedan.) Dessutom klargör unionen att kraven gäller hela verksamheterna, snarare än bara de samhällsviktiga funktionerna. 

Det kan även innefatta underleverantörer. Så även om tröskeln för att omfattas av direktivet är relativt hög – minst 50 anställda eller 10 miljoner euro i omsättning – så kan mindre bolag i förlängningen också påverkas. 

Ett sådant är Foodhills i Bjuv, som är sprunget ur den före detta Findus-verksamheten på orten och i dag fokuserar på att sälja frysta gröna ärtor. Livsmedelsbranschen är nämligen en av de nya sektorerna i NIS2. 

– Jag är inte insatt i det här direktivet, men självklart funderar man på de här frågorna. Vad händer exempelvis om våra system blir hackade under skördeperioden? Det skulle få stora konsekvenser. I dag arbetar vi med traditionella verktyg som brandväggar och vpn:er, men vi har inte gått djupare än så, säger Foodhills vd Karl Vilhelm Beckman. 

“Förvaltning av IKT-tjänster mellan företag”, det vill säga informations- och kommunikationstjänster, är en annan av de nya sektorerna i NIS2. 

Malmöbaserade telekombolaget Tillmobil arbetar tillsammans med landets stora telefonoperatörer och litar på att de sköter säkerheten. 

– Vi är ett tjänsteföretag som säljer de stora telefonoperatörernas produkter. Gällande säkerheten så är det något som operatörerna står för och vi förutsätter att våra samarbetspartners gör sitt jobb, säger Tillmobils vd Briar Karim.

Han vet inte om de nya kraven i förlängningen kan påverka Tillmobil, till exempel genom utökade krav från operatörerna. Men han välkomnar de nya reglerna.

– Kommer det nya direktiv och regler så rättar vi oss efter det och behöver vi vidta åtgärder så gör vi det. Vi välkomnar nya EU-direktiv, det hjälper till att få bort oseriösa aktörer, säger Briar Karim.

Ett företag som redan har börjat kartlägga sina underleverantörers cybersäkerhet är Sysav i Malmö. Avfallsbranschen är också en av de nya sektorerna i NIS2. Enligt Sysavs IT-chef Martin Hultström har bolagets underleverantörer varierande kunskaper om de nya reglerna.

– Vi måste arbeta med säkerhet i hela leverantörskedjan och har i dag en dialog med våra leverantörer om hur de arbetar med dessa frågor. Vi har också anlitat ett företag som hjälper oss att kartlägga leverantörernas cybersäkerhetsarbete, säger Martin Hultström. 

Direktivet ställer även krav på att incidenter ska rapporteras till MSB. Ställer ni sådana krav på era underleverantörer? 

– Vi håller på att arbeta in sådana klausuler i avtalen, om revision och säkerhetskontroller till exempel. Men det tar lite tid att hitta formen och komma överens, även om de flesta leverantörer är positiva till att bidra till en ökad säkerhet.

Direktivet handlar både om cybersäkerhet, som syftar på rent tekniska skydd så som antivirus och brandväggar, och informationssäkerhet som handlar om att skydda all typ av information, oavsett media. Detta inkluderar att säkerställa att den lagrade informationen är riktig och tillgänglig för de som behöver den. Sysav arbetar enligt Martin Hultström både med cyber- och informationssäkerhet.

– Direktivet efterfrågar systematik och inom cybersäkerhet det har vi jobbat med det länge, med fokus på att arbeta proaktivt snarare än reaktivt. Nu arbetar vi med att öka systematiken i vårt arbete med informationssäkerhet också, säger Martin Hultström. 

Martin Linderoth
Emiliano Strauss

SEKTORER i NIS1Tillsynsmyndigheter
EnergiStatens energimyndighet
Hälso- och sjukvårdInspektionen för vård och omsorg & Läkemedelsverket
Digital infrastrukturPost- och telestyrelsen
TransportTransportstyrelsen
Distribution av dricksvattenLivsmedelsverket
BankverksamhetFinansinspektionen
FinansmarknadsinfrastrukturFinansinspektionen
Nya SEKTORER i NIS2Tillsynsmyndigheter
Offentlig förvaltningLänsstyrelser*
TillverkningTransportstyrelsen & Läkemedelsverket &
Länen* 
Produktion, bearbetning och distribution av livsmedelLivsmedelsverket
Produktion och distribution av kemikalierLänsstyrelser*
Post- och budtjänsterPost- och telestyrelsen
Digitala leverantörerPost- och telestyrelsen
AvloppsvattenLivsmedelsverket
AvfallshanteringLänsstyrelser*
Förvaltning av telekomtjänster mellan företagPost- och telestyrelsen
ForskningLänsstyrelser* 
RymdenPost- och telestyrelsen
*Med ”Länsstyrelser” åsyftas Länsstyrelserna i Stockholm, Västra Götaland, Norrbotten och Skåne.

Foodhills, Tillmobil och Sysav är bara några av alla bolag som kan påverkas av den kommande cybersäkerhetslagens skärpta krav. Men vetskapen om kraven varierar.


För att läsa resten av artikeln behöver du
vara prenumerant och inloggad


  • De tar bank-ID ut i världen

    Skaparna av vårt svenska bank-ID vill föra ut lösningen globalt. Malmöbolaget Covr Security lanserar nu sitt ID-system i Bangkok Bank i Thailand. Men vägen dit har varit lång och bolagets omsättning är fortfarande blygsam.

  • Sportbetting blev träpaneler

    Att ett tvillingpar som ägnat sig åt sportbetting skulle satsa på akustiska träpaneler var en högoddsare. Men det blev en succé och bolaget Wood on Wall i Helsingborg hoppas nå 100 Mkr i försäljning inom bara några år.

  • Freedrum ur takt igen

    Malmöbolaget Freedrum Studios har fått en ansökan om företagsrekonstruktion godkänd i tingsrätten. Det är inte första gången bolaget är i ekonomisk knipa.