För ett tryggare Europa: NIS2

Nätverks- och informationssäkerhetsdirektivet, NIS2, är ett centralt regelverk från EU som syftar till att höja säkerhetsnivån och skyddet för våra digitala tillgångar som är en del av vår totala organisatoriska förmåga att bedriva verksamhet utan att utsätta oss för kostsamma och kvalitativa risker. Under vintern och våren har vi organiserat en serie konferenser i Stockholm, Göteborg och Malmö som samlade flera hundra intresserade och framåtlutade deltagare. Dessa event var en stor framgång och erbjöd en plattform för att diskutera direktivets implikationer och möjligheter. 

Bakgrund till NIS2

Direktivet är en uppföljning av det ursprungliga NIS-direktivet från 2016 och adresserar behovet av förbättrad cybersäkerhet inom EU. Det fokuserar på att skydda kritisk infrastruktur, främja informationsutbyte och säkerställa att organisationer implementerar nödvändiga säkerhetsåtgärder. Med NIS2 får Europa en starkare grund för att hantera framtida cyberhot, vi står bättre rustade helt enkelt.  

Framgångsrika konferenser 

Under våra konferenser deltog bortemot 500 gäster i livliga diskussioner om NIS2 och andra relevanta regelverk. Bland deltagarna fanns personer med varierande kompetenser från olika organisationer i samhället, från juridik och ledningsgrupper till informationsansvariga och CISOs och mer. Vi tog del av information från expertis inom olika fält, representerade av experter från bland andra EY, PWC, KnowIT, OneMore Secure, Sciber, Exobe, Infotechtion och så klart även Microsoft. Deras insikter och olika inflygningar bidrog till att göra det komplicerade direktivet mer begripligt och hanterbart för många av oss, belysa dess komplexitet men även dess praktiska tillämpning. 

Microsofts bidrag 

Microsoft står redo att stödja organisationer i deras anpassning till NIS2 och förbättring av sin cybersäkerhet. Genom Microsofts molnplattform Azure och produktivitetssvit Microsoft 365 får organisationer tillgång till avancerade verktyg för molnsäkerhet, identitetsskydd och datahantering. Och via inbyggda verktyg hjälper vi redan idag organisationer att bedöma och säkerställa efterlevnad av NIS2 och andra regelverk. 

Allt detta görs i en tid där vi från Microsoft genomför vår största satsning någonsin i Sverige, vilket inkluderar investeringar i infrastruktur, teknologi och kompetens för att stödja den digitala omställningen. Genom att öka närvaron och investeringarna i Sverige förstärker Microsoft sitt åtagande att stödja den digitala utvecklingen och cybersäkerheten, inte bara i Sverige utan i hela EU. 

Men, det handlar inte bara om teknik 

En central insikt från konferenserna är att NIS2 inte bara är en teknisk utmaning utan en strategisk fråga som kräver ledarskap. Talarna var enstämmiga i att NIS2 inte bör ses som en pålaga utan som en möjlighet för organisationer att förbättra sin cyberhygien och stärka sitt skydd mot digitala hot. Som en del i de investeringar som nämndes så är just kompetensutveckling över hela organisationen central, det är kritiskt att alla organisationer utrustas med den kunskap och de färdigheter som behövs för att uppfylla direktivets krav. 

Genom att följa direktivet kan vi som kontinent skapa en form av flockimmunitet, där ingen organisation blir den svagaste länken. Det är avgörande att företagsledningar tar ansvar och ser till att direktivets krav integreras i deras övergripande strategi. 

Dags att börja nu 

Det är viktigt att poängtera att arbetet med direktivet måste börja omedelbart. För vissa kan reglerna verka överväldigande med sina krav på snabba rapporteringar och omfattande säkerhetsåtgärder. Men med tidig rapportering kan EU:s centrala tjänster erbjuda nödvändig hjälp och stöd, vilket i sin tur kan hjälpa till att identifiera och bemöta hot på ett bredare plan. 

Vår gemensamma styrka 

NIS2 är inte ett projekt med en start- och slutpunkt. Det är en pågående process som redan existerar i många organisationers dagliga arbete inom andra regel- eller ramverk. Direktivet lyfter fram vikten av kontinuerlig cyberhygien och säkerställer en lägstanivå av säkerhet inom EU från och med den 18 oktober 2024. Genom att integrera dessa principer i organisationens kultur och dagliga rutiner kan ledningen säkerställa att säkerhetsåtgärderna blir hållbara och effektiva. En återkommande fråga var den om vilka organisationer som skulle omfattas av direktivet och den kommande säkerhetsskyddslagen, om man kanske skulle kunna vänta lite. Det återkommande svaret var att NIS2, CER och andra direktiv egentligen inte skulle tolkas på det sättet – att det inte var eventuella påföljder från tillsynsmyndigheter som var tänkt att vara drivkraften utan viljan och värdet av att kunna skydda sig mot ett angrepp, och rätten till att be om hjälp genom att själv har koll på sina grunder.  

Tre principer för att arbeta med NIS2 

För att leda arbetet med direktivet framgångsrikt rekommenderar vi tre principer, på engelska är det ”People, Plan and Partners”, fritt översatt till våra förhållanden: 

1. Människor: Utbilda och engagera alla medarbetare.
2. En plan: Utveckla, dokumentera och implementera en strukturerad plan för styrning, regelefterlevnad och riskhantering.
3. Rätt vänner: Samarbeta med experter och pålitliga partners.

Det handlar alltså inte om att vinna en tävling utan om att skapa en starkare, motståndskraftigare marknad där alla vinner. När vi arbetar tillsammans blir vi starkare och bättre rustade för att möta framtidens hot. 

Ett stort tack till alla som deltog och bidrog till våra NIS2-konferenser. Tillsammans har vi tagit viktiga steg mot en säkrare digital framtid för hela Europa. Låt oss fortsätta detta arbete och omfamna de möjligheter som säkerhetsdirektivet erbjuder.