Vilka riskhanteringsåtgärder kommer att behöva vidtas i arbetet med att efterleva NIS 2 och kommande cybersäkerhetslag?
Juristens svar
Om man är en verksamhetsutövare som omfattas av NIS 2 och cybersäkerhetslagen behöver man vidta många åtgärder för att skydda sina system. Man ska även skydda systemens fysiska miljö mot incidenter. Åtgärderna ska vara tekniska, driftsrelaterade och organisatoriska.
Åtgärderna man ska vidta innefattar:
- incidenthantering
- kontinuitetshantering
- säkerhet i leveranskedjan
- säkerhet vid förvärv, utveckling och underhåll av nätverks- och informationssystem, inklusive hantering av sårbarheter och sårbarhetsinformation
- strategier och förfaranden för användning av kryptografi och kryptering
- personalsäkerhet
- strategier för åtkomstkontroll och tillgångsförvaltning
- säkrade lösningar för kommunikation
- lösningar för autentisering.
Utöver dessa åtgärder ska verksamhetsutövare även bedriva ett systematiskt och riskbaserat informationssäkerhetsarbete. Det innebär att man ska skydda de uppgifter som finns i verksamhetens system, eller överförs till eller från systemen. Uppgifterna ska skyddas utifrån aspekterna tillgänglighet, autenticitet, riktighet och konfidentialitet. Informationssäkerhetsarbete är allt arbete som syftar till att säkerställa säkerheten för systemen och informationen i verksamheten. För att det ska röra sig om ett systematiskt arbete behöver arbetet bedrivas långsiktigt, kontinuerligt och metodiskt. Det ska finnas en tydlig rollfördelning med särskilt utpekade ansvar.
Slutligen ska ledningen genomgå utbildning om riskhanteringsåtgärder. Det gäller oavsett om man arbetar i privata eller offentliga verksamheter. Man ska även erbjuda anställda sådan utbildning.
Det kan vara svårt att veta vilka åtgärder man ska vidta på områdena som räknas upp, och vilka åtgärder som är tillräckliga. I förslaget till cybersäkerhetslag framgår att åtgärderna ska utgå från ett allriskperspektiv. Det innebär att ta hänsyn till risker oavsett varifrån risken härrör, det kan vara allt ifrån externa hot såsom ransomware-attacker, fysiska hot i form av bränder eller översvämningar eller interna brister i till exempel behörighetshantering. Man dokumenterar de risker man identifierat i en riskanalys. De åtgärder man sedan vidtar ska vara proportionella i förhållande till risken. Åtgärderna ska utvärderas för att säkerställa att de är tillräckliga.
Ny praxis och lagändringar kan ha tillkommit sedan texten skrevs. De senaste uppdateringarna och hur dessa påverkat rättsområdet hittar du alltid i relevant informationstjänst.
Publicerad 31 okt 2024
Rådgivare och jurist
JP Infonet vill upplysa om att svaret som ges är övergripande och inte en rekommendation till beslut i något enskilt fall.