Enligt EU:s så kallade genomförandeförordning gäller NIS2 direktivet redan från den 7/11 2024. Så även om den nya cybersäkerhetslagen inte kommer att vara på plats förrän augusti 2025, finns det ingen anledning att pausa företagets arbete med cybersäkerhet.
Det är fem typer av organisationer som NIS2 direktivet gäller för redan nu. Det är leverantörer av DNS-tjänster, registreringsenheter för toppdomäner, leverantörer av molntjänster, leverantörer av marknadsplatser online och leverantörer av sökmotorer. Hur definitionen av dessa leverantörer ser ut finns att läsa i NIS2-direktivet.
Geir Aasen menar dock att alla organisationer som på ett eller annat sätt berörs av NIS2 gör klokt i att tänka så här:
1. Fortsätt enligt plan
Alla samhällsviktiga och samhällskritiska organisationer borde redan vara en bra bit på väg med att uppgradera sitt säkerhetsarbete i enlighet med NIS2. Det viktiga är att ”hålla kursen” och att fortsätta med det arbete man redan har planerat.
2. Omvärldsbevaka
NIS2 är något av ett paradigmskifte när det gäller synen på cybersäkerhet. Det ställer mycket högre krav på ledningens förståelse och ansvar. Därför blir omvärldsbevakningen ännu viktigare. Håll koll på vad som händer, både på EU- och nationell nivå kring NIS2 och annan vägledning för “best practice”.
3. Se direktivet som en guide
NIS2 direktivet ställer högre krav på riskhantering och incidentrapportering. Men vad är egentligen en kritisk incident? Här ger genomförandeförordningen bra vägledning och definitioner på vad som räknas som kritiska incidenter i olika sektorer. Alla organisationer gör klokt i att ta del av direktivet och därefter göra sin egen analys utifrån den egna verksamheten.
4. Öka medvetenheten
NIS2 förberedelserna handlar om att organisationens ledning och styrelse måste öka sin medvetenhet om vad som krävs för att uppnå cyberresiliens. Vad är viktigast för att organisationen skall kunna fortsätta fungera? I grunden handlar det om att ställa tre strategiska frågor – i rätt ordning:
- Vad är viktigast att skydda?
- Vad har vi för processer för att säkra våra kritiska system?
- Vad är vår plan om någonting händer?
De organisationer och företag som arbetar med att stärka sin cybersäkerhet och cyberresiliens på det här sättet kommer att på ett systematiskt och strukturerat sätt ha sett till att ha saker på plats när cybersäkerhetslagen och dess förordningar och föreskrifter börjar gälla. Och det utan onödig organisatorisk stress.
- Visst behöver många organisationer hålla ett högt tempo i sitt arbete, säger Geir Aasen. Men i det här läget är det viktigare att hålla rätt kurs i arbetet än att öka takten.