Foodhills, Tillmobil och Sysav är bara några av alla bolag som kan påverkas av den kommande cybersäkerhetslagens skärpta krav. Men vetskapen om kraven varierar.
Den nya lagen stiftas för att leva upp till EU-direktivet NIS2, med skärpta krav på fler aktörer att dokumentera och rapportera sitt arbete med cybersäkerhet. NIS står för nätverks- och informationssystem.
NIS2-direktivet är en uppföljning på NIS-direktivet från 2016. Syftet är att öka den gemensamma nivån på cybersäkerhet inom EU genom att ställa krav på samhällsviktiga verksamheter att vidta säkerhetsåtgärder och rapportera incidenter av brister eller intrång.
Det nya direktivet adderar elva branscher eller sektorer till de sju som omfattades av första NIS-direktivet. (Se hela listan nedan.) Dessutom klargör unionen att kraven gäller hela verksamheterna, snarare än bara de samhällsviktiga funktionerna.
Det kan även innefatta underleverantörer. Så även om tröskeln för att omfattas av direktivet är relativt hög – minst 50 anställda eller 10 miljoner euro i omsättning – så kan mindre bolag i förlängningen också påverkas.
Ett sådant är Foodhills i Bjuv, som är sprunget ur den före detta Findus-verksamheten på orten och i dag fokuserar på att sälja frysta gröna ärtor. Livsmedelsbranschen är nämligen en av de nya sektorerna i NIS2.
– Jag är inte insatt i det här direktivet, men självklart funderar man på de här frågorna. Vad händer exempelvis om våra system blir hackade under skördeperioden? Det skulle få stora konsekvenser. I dag arbetar vi med traditionella verktyg som brandväggar och vpn:er, men vi har inte gått djupare än så, säger Foodhills vd Karl Vilhelm Beckman.
“Förvaltning av IKT-tjänster mellan företag”, det vill säga informations- och kommunikationstjänster, är en annan av de nya sektorerna i NIS2.
Malmöbaserade telekombolaget Tillmobil arbetar tillsammans med landets stora telefonoperatörer och litar på att de sköter säkerheten.
– Vi är ett tjänsteföretag som säljer de stora telefonoperatörernas produkter. Gällande säkerheten så är det något som operatörerna står för och vi förutsätter att våra samarbetspartners gör sitt jobb, säger Tillmobils vd Briar Karim.
Han vet inte om de nya kraven i förlängningen kan påverka Tillmobil, till exempel genom utökade krav från operatörerna. Men han välkomnar de nya reglerna.
– Kommer det nya direktiv och regler så rättar vi oss efter det och behöver vi vidta åtgärder så gör vi det. Vi välkomnar nya EU-direktiv, det hjälper till att få bort oseriösa aktörer, säger Briar Karim.
Ett företag som redan har börjat kartlägga sina underleverantörers cybersäkerhet är Sysav i Malmö. Avfallsbranschen är också en av de nya sektorerna i NIS2. Enligt Sysavs IT-chef Martin Hultström har bolagets underleverantörer varierande kunskaper om de nya reglerna.
– Vi måste arbeta med säkerhet i hela leverantörskedjan och har i dag en dialog med våra leverantörer om hur de arbetar med dessa frågor. Vi har också anlitat ett företag som hjälper oss att kartlägga leverantörernas cybersäkerhetsarbete, säger Martin Hultström.
Direktivet ställer även krav på att incidenter ska rapporteras till MSB. Ställer ni sådana krav på era underleverantörer?
– Vi håller på att arbeta in sådana klausuler i avtalen, om revision och säkerhetskontroller till exempel. Men det tar lite tid att hitta formen och komma överens, även om de flesta leverantörer är positiva till att bidra till en ökad säkerhet.
Direktivet handlar både om cybersäkerhet, som syftar på rent tekniska skydd så som antivirus och brandväggar, och informationssäkerhet som handlar om att skydda all typ av information, oavsett media. Detta inkluderar att säkerställa att den lagrade informationen är riktig och tillgänglig för de som behöver den. Sysav arbetar enligt Martin Hultström både med cyber- och informationssäkerhet.
– Direktivet efterfrågar systematik och inom cybersäkerhet det har vi jobbat med det länge, med fokus på att arbeta proaktivt snarare än reaktivt. Nu arbetar vi med att öka systematiken i vårt arbete med informationssäkerhet också, säger Martin Hultström.
Martin Linderoth
Emiliano Strauss
| SEKTORER i NIS1 | Tillsynsmyndigheter |
| Energi | Statens energimyndighet |
| Hälso- och sjukvård | Inspektionen för vård och omsorg & Läkemedelsverket |
| Digital infrastruktur | Post- och telestyrelsen |
| Transport | Transportstyrelsen |
| Distribution av dricksvatten | Livsmedelsverket |
| Bankverksamhet | Finansinspektionen |
| Finansmarknadsinfrastruktur | Finansinspektionen |
| Nya SEKTORER i NIS2 | Tillsynsmyndigheter |
| Offentlig förvaltning | Länsstyrelser* |
| Tillverkning | Transportstyrelsen & Läkemedelsverket & Länen* |
| Produktion, bearbetning och distribution av livsmedel | Livsmedelsverket |
| Produktion och distribution av kemikalier | Länsstyrelser* |
| Post- och budtjänster | Post- och telestyrelsen |
| Digitala leverantörer | Post- och telestyrelsen |
| Avloppsvatten | Livsmedelsverket |
| Avfallshantering | Länsstyrelser* |
| Förvaltning av telekomtjänster mellan företag | Post- och telestyrelsen |
| Forskning | Länsstyrelser* |
| Rymden | Post- och telestyrelsen |
