Stressad inför DORA och NIS2? Läs det här först

dora-nis2
Skriven av
Per Gustavsson
Lästid
3 min

Förordningen DORA och direktivet NIS2 är båda viktiga delar av europeisk cybersäkerhetslagstiftning. De kompletterar varandra då NIS2 syftar till att stärka den övergripande nivån av cybersäkerhet i EU, medan DORA ser till att det finansiella systemet fungerar, även vid en cyberattack. Hela kedjan av leverantörer kommer att påverkas, och för att det ska fungera smidigt blir partnerskap viktigare.

NIS och NIS2

NIS (Network and Information Security) trädde i kraft 2018 och var det första steget mot en skärpt lagstiftning för cybersäkerhet inom EU. Direktivet riktade sig mot leverantörer av samhällsviktiga tjänster som bank, transport och sjukvård, liksom vissa digitala tjänster som sökmotorer, molntjänster och marknadsplatser online. Målet var bland annat att verka för att samtliga medlemsstater var förberedda för cyberhot.

NIS2 är en vidareutveckling av NIS. Kraven kommer att gälla nya branscher och aktörer såsom transport, bank och finans, offentlig förvaltning, energi, liksom deras leverantörer och underleverantörer. Förutom att säkerställa att samhällsviktiga företag och organisationer har en tillräckligt hög digital säkerhet, innebär NIS2 tydligare övervakningskrav, tätare samordning mellan EU:s medlemsstater, och stärkta sanktioner för brist på efterlevnad.

I och med att det är ett europeiskt direktiv kommer respektive land att få besluta om vad som blir lagkrav. Varje medlemsstat måste införliva direktivet i den nationella lagstiftningen senast den 18 oktober 2024 i samband med att NIS-direktivet upphör att gälla.

DORA

DORA (Digital Operational Resilience Act) är EU:s förordning för finansiella aktörer som banker, försäkringsbolag, värdepappersbolag och deras tredjepartsleverantörer. Målet är att stärka finanssektorns digitala operativa motståndskraft mot exempelvis cyberhot. Företagen behöver en effektiv styrning för informationssäkerhet, införa rutiner och åtgärder för att kunna hantera och rapportera olika IT-incidenter, och utföra regelbundna tester och övervakningar av olika digitala operationer.

Berörda finansbolag kan inte vänta med att agera utan måste börja fundera på vad det innebär för det egna företaget. Men även underleverantörer behöver förbereda sig då de i sin tur kommer att påverkas av finansbolagen. DORA började gälla från och med början på 2023 och nu har finansiella aktörer på sig till januari 2025 att säkerställa efterlevnad.

Så förbereder du dig inför DORA och NIS2 i 5 steg

Förberedelser behövs alltså, men var börjar du? Att navigera dessa regler och krav kan vara en utmaning, men rätt förberedelser kan göra övergången smidigare.

  1. Förstå förutsättningarna
    Kunskap är makt. Läs och analysera DORA och NIS2 noggrant för att förstå exakt vad som krävs av ditt företag. Ta del av information från olika kanaler som advokatbyråer och viktiga spelare inom informationssäkerhet och var medveten om att det inte finns en quick fix. Underleverantörer kommer att få frågor från finansbolag de samarbetar med och behöver vara förberedda för skärpta informationssäkerhetskrav. Tänk också på att regleringarna inte bara påverkar er på IT-avdelningen, utan även operativ verksamhet, juridik, HR och andra avdelningar.

  2. Uppdatera eller implementera nya policys och procedurer
    För att garantera att företaget lever upp till de nya reglerna bör riskanalyser utföras. Baserat på din förståelse av reglerna och bedömning av nuvarande kapacitet, bör du sedan utforma och implementera uppdaterade eller helt nya säkerhetspolicys och procedurer. I det här arbetet är det värdefullt att ta hjälp. Företag kan vända sig till branschorganisationer och kommuner, regioner samt myndigheter kan bland annat rådfråga MSB eller andra myndigheter. Kommuner samt regioner kan även få stöd från SKR.

  3. Utbildning och medvetenhet
    En viktig del av förberedelserna är utbildning. Det räcker inte med att du som CISO är påläst, utan alla anställda behöver vara medvetna om vikten av cybersäkerhet och vad de kan göra för att bidra. En gemensam insats där hela företaget har förberett sig skyddar organisationen. Det ger även företaget en konkurrensfördel, och underlättar vid exempelvis upphandlingar då man som kund och leverantör tillsammans i god tid har samförstånd.

  4. Kontinuerlig uppföljning
    Granska och uppdatera säkerhetspolicies och procedurer regelbundet för att vara säker på att företaget fortsätter att bemöta de nya regleringarna.

  5. Gemensam ansträngning
    Det är viktigt att poängtera att förberedelserna för DORA och NIS2 kräver en samordnad insats från hela organisationen. Alla delar av verksamheten, från IT till HR och juridik, bör samarbeta för att säkerställa efterlevnad och säkerhet i en föränderlig regleringsmiljö.

Partnerskap: En förutsättning för framgång

Vi kommer att se mer av cyberattacker. En orsak till det är bättre verktyg och processer för att uppmärksamma intrång, vilket gör att det kommer att rapporteras fler attacker. Men samtidigt kommer många företag även hantera problemen bättre och få en starkare motståndskraft tack vare en förstärkt incidentberedskap och fler rapporterade händelser.

Säkerheten kommer att öka betydligt om vi gör det på rätt sätt och delar information. Det kommer att krävas ett tightare samarbete mellan myndigheter och företag och företag emellan. Det gör att vi blir mer robusta och kan få förvarningar som förbereder oss bättre.

Per Gustavsson, CISO på Stratsys, menar också att relationen mellan kund och leverantör har förändrats. Från att ha varit tydligt separerade aktörer tror han på en framtida symbios och en ökad transparens som innebär att finansbolagen lättare kan identifiera lämpliga leverantörer.

"Vi ser ett behov av ökad transparens och att hjälpa varandra. Vi ingår i fler “tillsammansskap” idag. Den svagaste länken är interaktionen mellan system och människor, och här kan hackers alltid slå in en kil. Har du däremot ett starkt samarbete blir det svårare att tränga in."

IMG_4503-2
Per Gustavsson, CISO på Stratsys.

Vill du veta mer? Se vårt inspelade webinar på ämnet ramverk inom informationssäkerhet och dataskydd.

Feature image - Ramverk inom  informationssäkerhet  (1)