Under 2024 händer flera viktiga saker inom informationssäkerhetsområdet som du som CISO bör vara förberedd kring. Med nya standarder, ramverk och lagar för cybersäkerhet kommer många företag behöva se över sina rutiner och riktlinjer. Här är de fem största förändringarna som sker under året – är du redo att möta dem?
1. Den svenska NIST-standarden formuleras
Den svenska NIST-standarden är ett initiativ som syftar till att skapa riktlinjer för cybersäkerhet som är lättförståeliga och tillämpningsbara även för organisationer som saknar djupare teknisk expertis. Standarden baseras på det amerikanska NIST Cyber Security Framework och drivs av SIS (Svenska institutet för standarder). Initiativet kommer sig av en ökad efterfrågan på cybersäkerhetsstöd, i ljuset av den växande hotbilden i samhället. NIST-standarden kommer att inkludera handböcker och en teknisk specifikation som erbjuder vägledning och praktiska verktyg för företag att kunna implementera effektiva säkerhetsåtgärder.
"NIST CSF blir en best practice för den svenska marknaden, och vägledningen kommer ge tydliga exempel på hur man kan använda det här ramverket i sin organisation. Det kommer underlätta ens fortsatta arbete med cybersäkerhet och säkerställa att det skydd man har är rätt dimensionerat i alla delar av NIST CSF. Samtidigt blir det enklare att vara compliant med nuvarande och kommande lagstiftning." - Per Gustavsson, CISO på Stratsys
2. Nya viktiga tekniska standarder inom DORA
DORA-förordningen, som börjar gälla i januari 2025, fortsätter utökas med nya tekniska standarder (RTS) som ska bidra till att stärka finansiella myndigheters digitala motståndskraft. Under vintern 2024 har europeiska tillsynsmyndigheter publicerat slutrapporter med förslag till tekniska standarder som är kopplade till DORA-förordningen. Dessa rapporter, som nu är hos EU-kommissionen för beslut, fokuserar på fyra viktiga områden:
- IKT-riskhanteringsramverk: Ett ramverk som identifierar ytterligare element relaterade till IKT-riskhantering för att harmonisera verktyg, metoder, processer och riktlinjer.
- Klassificering av IKT-relaterade incidenter: Specificerar kriterierna för klassificering av större IKT-relaterade incidenter, inklusive gränsvärden för när en incident anses vara betydande, samt hur man bedömer allvarliga cyberhot.
- Policy för IKT-tjänster som utförs av leverantörer: Beskriver de delar av styrningsstrukturen, riskhanteringen och kontrollsystemet som finansiella företag bör implementera när de använder sig av tredjepartstjänster inom IT.
- Mallar för register över information: Fastställer mallar som finansiella företag ska underhålla och uppdatera kopplade till avtal med leverantörer, något som spelar avgörande roll i deras ramverk för hantering av tredjepartsrisker.
“Dessa tekniska standarder är bra eftersom de inte ger ett alltför stort tolkningsutrymme kring ramverket. Det gör det enklare att till exempel köpa in säkerhetssystem, utbilda personal och kravställa underleverantörer på rätt sätt. Det sistnämnda är särskilt intressant för CISOS att hålla ett öga på, för att få en större transparens kring t.ex. due diligence och säkerhetskrav i leverantörsavtal.” - Per Gustavsson
Per Gustavsson, CISO på Stratsys
3. NIS2 blir svensk cybersäkerhetslag 2024
Under 2024 kommer NIS2-direktivet att införas i svensk lag, något som kommer ha stor inverkan på organisationers säkerhetsstrategier. En av de viktigaste förändringarna är att NIS2 utvidgar omfånget av sektorer som omfattas av direktivet, vilket innebär att fler organisationer är skyldiga att vidta åtgärder för att öka sin cybersäkerhet.
Det införs också strängare säkerhetskrav för både företag och digitala tjänsteleverantörer – och strängare påföljder. NIS2-direktivet kommer potentiellt sett också kunna ge tillsynsmyndigheter möjlighet att utföra sanktionsavgifter på högst 10 miljoner euro, eller 2 % av företags årliga globala omsättning (vilket kan jämföras med GDPR där sanktionerna kan uppgå till det dubbla). Samtidigt ska viten och böter kunna riktas direkt mot t.ex. styrelse och individer i ledande ställning.
Innan den svenska cybersäkerhetslagen antas kommer även CER-direktivet att presenteras, som är mer inriktat på att stärka motståndskraften hos samhällsviktiga verksamheter, så kallade kritiska entiteter. Det innebär framför allt insatser för att förbereda och skydda dessa verksamheter mot olika hot – t.ex. naturkatastrofer, olyckor, och cyberhot. Direktivet kräver att berörda verksamheter ska genomföra riskbedömningar och vidta åtgärder för att stärka sin resiliens kring detta.
4. AI Act – en världsunik EU-lag som reglerar AI
I mars 2024 röstades EU-parlamentet genom en helt ny AI-lag som ska reglera användningen av AI inom hela unionen. AI Act omfattar alla leverantörer som hanterar AI-system på olika sätt – från tillverkare till installatörer och distributörer. Lagen innebär att AI delas in i fyra olika riskklasser som styr hur olika system för AI får användas – och förbjuder vissa delar helt och hållet. Specifika krav ställs exempelvis på de system som har hög risk, exempelvis de som används inom utbildning, brottsbekämpning och infrastruktur.
För svenska företag blir det nödvändigt att genomföra riskbedömningar och åtgärder för att lyckas följa dessa krav genom hela kedjan. Företag bör inleda sitt arbete med att inventera hur AI-system används inom organisationen, och bedöma dessa utifrån de risknivåer som anges i lagen. Delar av den nya lagen träder i kraft redan i maj 2024, och fullt ut under 2026, och företag som bryter mot lagen riskerar böter på upp till sju procent av sin globala årsomsättning.
“Användingen av AI bör ske i flera steg innan man implementerar det fullt i organisationen – det måste börja litet och kontrollerat, och testas på massa olika sätt. Framför allt är det viktigt att misslyckas snabbt. Målet är att komma fram till hur man kan använda AI på ett sätt som stöttar verksamheten och kunderna. Dagens utmaningar med AI är rent av desamma tre saker som redan för 30 år sedan – etik, datakvalitet och determinism. Är det okej att använda tekniken på avsett sätt? Är datan som används tillräckligt bra? Och hur säkerställer man att samma fråga får likadant svar över tid?” – Per Gustavsson
5. Skarpa krav på cybersäkerhet i hela leverantörskedjan
Med NIS2 och DORA kommer också nya, särskilda krav på att säkerställa god cybersäkerhet i leverantörskedjan – på ett betydligt mer avgörande sätt än tidigare. En organisation är inte längre ansvarig bara för sin egen cybersäkerhet, utan måste säkerställa att också leverantörer och partners uppfyller vissa säkerhetsstandarder. Närmare hälften av alla it-incidenter inrapporterade av myndigheter under 2023 skedde hos en leverantör, vilket tydligt visar hur ansvar och samarbete blir allt viktigare för att skydda organisationen. Särskilt viktigt är det när flera verksamheter har en och samma leverantör som drabbas, som i fallet med attacken mot Tietoevry vintern 2024. Dessa typer av störningar riskerar att få störst samhällskonsekvenser, eftersom en mängd organisationer påverkas samtidigt.
NIS2-direktivets utökade krav innebär att organisationer måste agera särskilt för att förhindra risker som kan uppstå även i leveranskedjan. Detta kräver allt från regelbundna säkerhetsbedömningar till klausuler kring cybersäkerhet i avtal, samt noggrann övervakning av delad trafik och data.
Vill du veta mer om hur Stratsys kan stötta er i ert informationssäkerhetsarbete? Läs mer om vår produkt Informationssäkerhet & dataskydd eller kontakta oss direkt.