NIS2 – Påverkan på små och medelstora företag (SME)

18 september, 2024

Vårt samhälle är djupt digitaliserat, med ett omfattande beroende av informationssystem och digitala tjänster inom viktiga sektorer som exempelvis energi, transport, dricksvatten och forskning. För att skydda dessa kritiska infrastrukturer ställs nu nya omfattande krav genom NIS2-direktivet. Då fler sektorer lyfts in samt med högre krav kommer nya verksamheter påverkas, vilka utmaningar står små och mellanstora företag inför vid implementeringen av NIS2 och hur kan du som företagare förbereda dig?

Vad är NIS2?

NIS2-direktivet syftar till att höja cybersäkerheten och skapa en gemensam säkerhetsnivå inom EU. Det omfattar ett bredare spektrum av aktörer och ställer krav på hela verksamheten, inte bara som nu kring den samhällsviktiga tjänsten. Direktivet kompletteras av CER, som fokuserar på fysisk- och personalsäkerhet. Tillsammans föreslås de slås samman i en Cybersäkerhetslag, som träder i kraft den 1 januari 2025.

Några av de viktigaste kraven i NIS2 inkluderar:

– Anmälan till tillsynsmyndighet: Organisationer måste registrera sig hos sin tillsynsmyndighet.

– Riskhantering: Ett systematiskt och riskbaserat informationssäkerhetsarbete måste implementeras.

– Utbildning: Krav på utbildning för både ledning och medarbetare.

– Incidentrapportering: Rapportering av betydande säkerhetsincidenter är obligatorisk.

 

Utmaningar för små och medelstora företag (SME)

För små och medelstora företag (SME) innebär NIS2 en särskild utmaning, som huvudregel fler än 50 anställda med några undantag. Dessa företag har ofta begränsade resurser och kan ha svårt att implementera de omfattande säkerhetsåtgärder som krävs.

Det är mycket som händer nu under hösten. Det ska skrivas lagar och författningar på kort tid och det kommer initialt vara svårt att veta exakt hur verksamheter ska förhålla sig till förslagen som har lagts fram. Exempelvis vilka specifika kriterier som gäller för identifiering (MSBFS 2024:4) av de nya sektorerna, samt att fem nya tillsynsmyndigheter ska vara på plats under kort tid.

Några av utmaningarna:

  1. Kostnad och Komplexitet: Att uppfylla NIS2:s krav kan vara kostsamt och komplext för SME, särskilt när det gäller att investera i avancerade cybersäkerhetslösningar och riskhanteringssystem.

 

  1. Resurshantering: Små företag måste optimera sina begränsade resurser för att både upprätthålla grundläggande säkerhetsrutiner och genomföra omfattande riskbedömningar. Detta kräver noggrann planering och prioritering.

 

  1. Kompetensbrist: Det kan vara svårt att hitta rätt kompetens för att hantera cybersäkerhet, vilket innebär att SME ofta måste investera i utbildning eller externa konsulter för att säkerställa efterlevnad.

 

  1. Utbildning och medvetenhet: Både ledning och medarbetare behöver utbildas om de nya kraven och hur man skyddar organisationen mot cyberhot. Detta kräver tid och resurser.

 

  1. Säkerhet i leverantörsrelationer: SME måste också säkerställa att deras leverantörsrelationer är säkra, vilket kan vara en extra belastning.

 

Förberedelser för NIS2

 

– Dedikerade Team: Skapa interna team eller utse ansvariga personer för att hantera NIS2-efterlevnad och implementera nödvändiga säkerhetsåtgärder.

– Riskbedömningar: Genomför omfattande riskbedömningar för att identifiera och åtgärda potentiella säkerhetsrisker.

– Utbildning: Investera i utbildning för både ledning och medarbetare för att säkerställa att alla förstår och kan uppfylla de nya kraven.

– Säkerhetskultur: Utveckla en stark säkerhetskultur inom organisationen för att skapa en medvetenhet om cybersäkerhet och främja goda säkerhetsrutiner.

– Systematiskt informationssäkerhetsarbete: Tydligt utpekat ansvar med syfte att planera, genomföra, kontrollera, följa upp, utvärdera och förbättra säkerheten.

 

Sammanfattningsvis

 NIS2-direktivet innebär en betydande ökning av cybersäkerhetskraven och ställer särskilda krav på små och medelstora företag. Att navigera genom dessa krav kräver strategiska investeringar och organisatoriska anpassningar. Trots utmaningarna med kostnader, kompetens och komplexitet, är en noggrann förberedelse och implementering avgörande för att säkerställa efterlevnad och skydda verksamheten mot cyberhot. Med rätt strategier och resurser kan du framgångsrikt anpassa dig till de nya reglerna och stärka din informationssäkerhet.

 

LÄS MER

Har du frågor om våra tjänster inom informationssäkerhet? hör av dig till info@2secure.se

KONTAKT

För mer information om NIS2-direktivet, besök [msb.se](https://www.msb.se) eller läs [Nya regler om cybersäkerhet, SOU 2024:18](https://www.regeringen.se) från regeringen.