IT-attacker riskerar att slå ut viktiga samhällsfunktioner. Det vill EU-direktivet NIS 2 motverka. Direktivet omfattar större organisationer men leverantörer, till exempel inom lås och säkerhet, påverkas indirekt. De behöver redovisa hur man bidrar till cybersäkerheten. Certifiering är ett sätt.
Digitaliserad låsteknik ger som bekant flera fördelar. Bättre kontroll av behörighet, spårbara data och enklare hantering är några exempel. Den digitala tekniken ingår ofta i ett bredare sammanhang, till exempel i ett större säkerhetssystem hos en kommun.
I ett sådant system växer det digitala informationsflödet när fler leverantörer anlitas. Samtidigt har kommunen egna flöden. Att ha koll på säkerheten i dataströmmarna är en allt viktigare fråga, inte minst med tanke på det skärpta cybersäkerhetsdirektivet, NIS 2. Det är ett EU-direktiv och infördes i Sverige som Cybersäkerhetslagen den 15 januari i år. Vad innebär denna nya lag för aktörer inom lås- och säkerhetsbranschen?
För att reda ut detta lät vi Björn Strandberg Klug på Verksamhetsfokus Sverige AB ge en orientering. De hjälper företag att kvalitetssäkra sin verksamhet utifrån olika standarder, bland annat med informationssäkerhet (ISO 27001).
Grepp om hela säkerheten
NIS 2-direktivet omfattar större organisationer, privata och offentliga. Syftet är att stärka skyddet och minska sårbarheten så att inte samhällskritiska funktioner, till exempel sjukvård, elförsörjning, IT-leverantörer eller infrastruktur, riskerar att slås ut av IT-attacker och digitala säkerhetshot. Det handlar alltså egentligen inte så mycket om teknik, mer om ett samhällsansvar.
- Tanken med cybersäkerhetslagen är att den samhällsviktiga verksamheten måste fungera och inte äventyras, säger Björn.
Det är en god tanke som kan kännas avlägsen från den praktiska verkligheten som kretsar kring en leverantörs verksamhet inom låsteknik. Men det är faktiskt tvärt om. De utvalda leverantörerna har också ett ansvar i den digitaliserade omvärlden, inte enbart kunden som omfattas av direktivet.
- Alla leverantörer bär på sin del av cybersäkerheten och tillsammans ger leverantörerna en helhetsbild av hur väl de kan bidra för att skydda kunden mot IT-attacker.
Koll på leverantörerna
Säkerheten byggs alltså på två sätt, dels är det kundens eget ansvar, dels handlar det om leverantörernas ansvar. Leverantörer kan vara aktörer i säkerhetsbranschen som låsföretag, driftteknik och molnlösningar. Kunden behöver säkerställa att leverantörerna lever upp till de krav som verksamheten ställer. För att påvisa att man gör det behöver leverantören lämna information om sitt säkerhetsarbete till kunden.
Vilka uppgifter behöver då en leverantör, till exempel ett låsföretag, ta fram?
- Man behöver till exempel redovisa hur man arbetar med sin informationssäkerhet, vilka rutiner man har och hur man säkerställer att cybersäkerheten hålls intakt, till exempel när nya produkter, programvaror och liknande utvecklas. En annan viktig del är hur man hanterar och dokumenterar de incidenter som inträffat och hur data lagras.
Risk att bli bortvald
Det finns inget krav på att leverantörer ska redovisa dessa uppgifter. Men det kan bli aktuellt när kunden granskar sina leverantörskedjor och behöver få svar på hur ett företag arbetar med sin cybersäkerhet.
- Har man inte koll på detta och saknar säkerhetsuppgifter finns det en risk att man inte blir vald som leverantör, säger Björn. Det är egentligen inte så märkligt eftersom man då inte bidrar till den kompletta bild som kunden behöver rapportera in och då blir den totala säkerhetsbilden bristfällig.
Har man alltså inte gjort läxan kan det innebära problem i cybersäkerheten och viktiga samhällsfunktioner kan drabbas. Det motverkar intentionen i NIS 2. Så vill man inom lås- och säkerhetsbranschen bli en leverantör till större kunder så blir det ett outtalat krav att man kan redovisa uppgifterna.
Ett sätt att förekomma problemet är certifiering.
Certifiering sparar tid
Om en leverantör har certifierat verksamheten mot ISO 27001, alltså informationssäkerhet, är mycket arbete redan gjort. Då är många frågor redan besvarade på förhand.
Det är Swedlock ett exempel på. Företaget utvecklar digitala lås till bland annat kommuner och har huvudkontor i Halmstad. De har med stöd av Björn certifierat verksamheten enligt ISO 27001 och han pekar på de vinster som det innebär för Swedlock.
- Det blir så mycket enklare, menar Björn. Eftersom Swedlock valt att certifiera sig behöver kunden inte lägga tid och energi på att granska dem som en framtida leverantör. Det är redan gjort och kunden kan fokusera mer på betydelsefulla frågor än att fråga om rutiner och liknande.
Utan certifieringen blir uppgiften besvärlig för kunden, hävdar Björn.
- Då riskerar kunden att drunkna i en leverantörsbedömning där man måste börja med grundläggande uppgifter kring ordning och reda. Till exempel om man har systematik för att bedöma sina egna risker. Och det har inte leverantören som inte är certifierad.
Därför blir certifieringen ett sätt för Swedlock att kvalificera sig till de möjliga kunder som omfattas av NIS 2. En signal till marknaden att man enkelt kan redovisa de nödvändiga uppgifterna på begäran vilket stärker deras varumärke. Swedlock är en medspelare som bidrar till att stärka cybersäkerheten till nytta för samhället och allas bästa.
På så sätt ökar NIS 2-direktivet också stabiliteten i det digitala skyddsnät som byggs inte bara i Sverige utan i hela EU.
© Love Janson
