Logga in

Glömt ditt lösenord?

Vilka riskhanteringsåtgärder kommer att behöva vidtas i arbetet med att efterleva NIS 2 och kommande cybersäkerhetslag?

Juristens svar

Om man är en verksamhetsutövare som omfattas av NIS 2 och cybersäkerhetslagen behöver man vidta många åtgärder för att skydda sina system. Man ska även skydda systemens fysiska miljö mot incidenter. Åtgärderna ska vara tekniska, driftsrelaterade och organisatoriska.

Åtgärderna man ska vidta innefattar:

  1. incidenthantering
  2. kontinuitetshantering
  3. säkerhet i leveranskedjan
  4. säkerhet vid förvärv, utveckling och underhåll av nätverks- och informationssystem, inklusive hantering av sårbarheter och sårbarhetsinformation
  5. strategier och förfaranden för användning av kryptografi och kryptering
  6. personalsäkerhet
  7. strategier för åtkomstkontroll och tillgångsförvaltning
  8. säkrade lösningar för kommunikation
  9. lösningar för autentisering.

Utöver dessa åtgärder ska verksamhetsutövare även bedriva ett systematiskt och riskbaserat informationssäkerhetsarbete. Det innebär att man ska skydda de uppgifter som finns i verksamhetens system, eller överförs till eller från systemen. Uppgifterna ska skyddas utifrån aspekterna tillgänglighet, autenticitet, riktighet och konfidentialitet. Informationssäkerhetsarbete är allt arbete som syftar till att säkerställa säkerheten för systemen och informationen i verksamheten. För att det ska röra sig om ett systematiskt arbete behöver arbetet bedrivas långsiktigt, kontinuerligt och metodiskt. Det ska finnas en tydlig rollfördelning med särskilt utpekade ansvar.

Slutligen ska ledningen genomgå utbildning om riskhanteringsåtgärder. Det gäller oavsett om man arbetar i privata eller offentliga verksamheter. Man ska även erbjuda anställda sådan utbildning.

Det kan vara svårt att veta vilka åtgärder man ska vidta på områdena som räknas upp, och vilka åtgärder som är tillräckliga. I förslaget till cybersäkerhetslag framgår att åtgärderna ska utgå från ett allriskperspektiv. Det innebär att ta hänsyn till risker oavsett varifrån risken härrör, det kan vara allt ifrån externa hot såsom ransomware-attacker, fysiska hot i form av bränder eller översvämningar eller interna brister i till exempel behörighetshantering. Man dokumenterar de risker man identifierat i en riskanalys. De åtgärder man sedan vidtar ska vara proportionella i förhållande till risken. Åtgärderna ska utvärderas för att säkerställa att de är tillräckliga.

Publicerad 31 okt 2024

Beata Rosvall

Rådgivare och jurist

JP Infonet vill upplysa om att svaret som ges är övergripande och inte en rekommendation till beslut i något enskilt fall.

Anmäl dig till vårt nyhetsbrev inom it-rätt:

Se vår integritetspolicy

Upptäck mer

Kurser

Dataskydd för nämndsekreterare
Dataskydd för nämndsekreterare
Utveckling och inköp av digitala tjänster – de legala kraven
Utveckling och inköp av digitala tjänster – de legala kraven
Offentlighet och sekretess i hälso- och sjukvården
Offentlighet och sekretess i hälso- och sjukvården
Se alla kurser inom it och dataskydd

Tjänster

Se alla tjänster inom it och dataskydd

Nyheter

Nya regler för att öka cybersäkerheten i EU:s kritiska entiteter och nätverk
IT och dataskydd

Kommissionen har antagit de första genomförandebestämmelserna om cybersäkerhet för kritiska entiteter och nätverk enligt direktivet om åtgärder för en hög gemensam cybersäkerhetsnivå i hela unionen (NIS2-direktivet).

5 nov 2024

DORA-förordningen – EU ökar kraven på IT-säkerhet inom finanssektorn
IT och dataskydd

I denna analys går vår expert, Didrik Värmon, igenom vad regelverket innehåller och analyserar dess effekter för EU:s finanssektor.    

5 nov 2024

Vilka incidenter ska rapporteras enligt NIS2 och den kommande cybersäkerhetslagen?
IT och dataskydd

Vår dataskyddsjurist Beata Rosvall svarar på frågan.

30 sep 2024

Se alla nyheter inom it och dataskydd

JP Infonets webbplatser använder cookies för att fungera på ett bra sätt. Du kan när som helst ändra ditt samtycke till kakor.

Läs mer om kakor (cookies)

Dölj detaljer Visa detaljer Hantera kakor