Förslag till små och medelstora företag att komma igång och accelerera sitt arbete med informations- och cybersäkerhet, på ett sätt som är anpassat efter deras egna förutsättningar.
Utmaningar som många står inför är…
- Det är en utmaning för många organisationer att identifiera vilka delar som är säkerhetskänsliga respektive samhällskritiska, eller både och
- Olika regleringar på cybersäkerhetsområdet med delvis överlappande krav kan göra det svårt att sortera och prioritera. Speciellt för mindre aktörer, små och medelstora företag med begränsade resurser
Det är därför viktigt att företagen bygger sin egen roadmap; en kort- och långsiktig planering, för att systematiskt lägga grunden för en god informations- och cybersäkerhet i sin verksamhet.
Vi föreslår – ni väljer det som passar er
Vår roll är enbart som guider i den djungel som råder avseende att skydda det skyddsvärda i verksamheterna. Vi ger förslag baserat på lagar och förordningar, föreskrifter och vägledningar från bland annat MSB (Myndigheten för civilt försvar), Säkerhetspolisen samt den best practise som finns på marknaden. Ni som företag kan själv bedöma om föreslagna åtgärder passar er affär, er kundkrets och er unika riskmiljö samt era förutsättningar.
Förslag på åtgärder på kort sikt – börja här!
Nedan aktiviteter är högprioriterade för att snabbt skapa en första grund för cybersäkerhet:
- Incidenthanteringsprocess: Säkerställ att det finns ett systematiskt arbetssätt och att erfarenheter samlas upp.
- Initiera ett projekt: Införa/säkerställa NCSCs tio rekommenderade grundläggande säkerhetsåtgärder. Projektet kan löpa parallellt med ett långsiktigt program. Se Länkar alt. NCSC.se och publikationen ”Cybersäkerhet i Sverige”.
- Initiera en projekt: Övergripande kartläggning av ”Leveranskedjorna”. Skapa en förteckning på de viktigaste IT-systemen, nätverken och annan kritisk infrastruktur samt namnet på leverantör, driftspartnern och ev applikationssupport. Ingår: kritiska IT-system, kritiska partners, kritiska för totalförsvarsplanering och för att upprätthålla samhällsviktig verksamhet vid höjd beredskap samt kris. Dessa kan komma att behöva aktiveras inom kort samt styras upp i ”nära dialog” samt i ”upphandling och avtal”.
- Utveckla: Medvetenhet, kompetens och samsyn. Initiera utbildning för ledningen och nyckelpersoner. Kommunicera systematiskt säkerhet till personal och alla berörda resurser. Det lägger grunden för ett gemensamt språk och en enhetlig kartbild samt viss samsyn som behövs inför kommande utbildningar, beslut och åtgärder.
På det här sättet har företaget förankrat säkerhetsarbetet mot den nya nationella cybersäkerhetsstrategin. Den strategin har tre grundpelare och strategiska målområden:
- Systematiskt och effektivt cybersäkerhetsarbete
- Utvecklad kunskap och kompetens inom cybersäkerhet
- Förhindra och hantera cybersäkerhetsincidenter
Förslag på en långsiktig plan
En lämplig tågordning i en långsiktig ( 1-2 år) planering finns nedan.
Vi föreslår att man först ringar in företagets kritiska skyddsvärden, och sorterar dem. Det blir då mer överskådligt när tekniska och organisatoriska säkerhetsåtgärder enligt NIS2-direktivet och CER-direktivet ska prioriteras. Dvs åtgärderna utformas mot tydliga, mer avgränsade och specifika mål.
1. Bygg Säkerhetsskydd: Säkerhetsskyddsanalys; för att ringa in och hantera ev säkerhetskänslig verksamhet runt identifierade skyddsvärden. Säkerhetsskyddslagen styr här.
2. Bygg Verksamhetsskydd: ”Verksamhetsskyddsanalys”, för att identifiera övriga skyddsvärden, dvs skyddsvärden ur perspektivet ”samhällskritiskt” men inte av betydelse för ”Sveriges säkerhet”.
Ett fortsatt systematiskt angreppssätt blir sedan:
3. Planera för och utför åtgärder enligt NIS 2-direktivet (nya cybersäkerhetslagen). Prioritera det som skyddar de högsta skyddsvärdena och sedan även de lågt hängande frukterna. Syfte: För en hög EU-gemensam cybersäkerhetsnivå på IT-system, nätverk och dess fysiska miljö.
4. Planera för och utför kompletterande åtgärder enligt CER-direktivet. Syfte: För en stärkt motståndskraft hos samhällsviktiga verksamheter (dvs tjänster och leveranser) inom EU.
5. Haka löpande på ett ramverk: Ett ledningssystem (ex ISO 27001/27002) är mycket användbart som ryggrad, dvs ett skelett och bärare av ovan delar (steg 1-4). Det ”håller ordning på” och underlättar styrning, koordinering och uppföljning av de olika delarna, som har olika syften. Använd gärna ISO 27001, med rubriker och underrubriker som ryggrad, för det som stegvis växer fram i er roadmap.
Vanliga frågor
Vad är skillnaden mellan Säkerhetsskydd och Verksamhetsskydd
Säkerhetsskydd omfattar skydd av uppgifter och verksamheter som har betydelse för Sveriges säkerhet, dvs på nationell nivå. Även lokala och regionalt samhällsviktiga verksamheter kan ha betydelse för Sveriges säkerhet. Säkerhetsskydd tar också sikte på det som en fientlig antagonist är ute efter, dvs avsiktligt försök till störning/skada (såväl kort- som långsiktig).
Verksamhetsskydd är skydd för uppgifter och verksamheter som är verksamhetskritiska men som inte har betydelse för Sveriges säkerhet. Dvs allt som är verksamhetskritisk men inte faller under Säkerhetsskydd och Säkerhetslagstiftningen. I verksamhetsskydd ingår således både avbrott/störningar orsakade av egna misstag eller ex naturkatastrofer.
En verksamhet som bedriver Säkerhetskänslig verksamhet behöver också ett Verksamhetsskydd.
Hur vet jag om NIS 2/Cybersäkerhetslagen respektive Säkerhetsskyddslagen gäller vårt bolag?
EU-direktivet NIS 2 (dvs nya Cybersäkerhetslagen) listar i sitt appendix alla de sektorer och delsektorer som är omfattas av direktivet. Det görs skillnad på ”Mycket kritiska” verksamheter resp ”Övriga kritiska sektorer” vad gäller vissa av kraven. Och de gör skillnad på verksamheternas storlek. Småbolag och Mikrobolag är oftast undantagna från direktivet men vissa undantag från undantagen finns (och måste bevakas).
Säkerhetsskyddslagen har inte motsvarande storleksgräns eller sektorsindelning, utan där är kravet att bolaget själv ska efter bästa förmåga bedöma om verksamheten som bedrivs är nationellt säkerhetskänslig eller inte.
Vår verksamhet är redan ISO27000-certifierat idag, räcker inte det?
Att ni redan har ett ledningssystem för informationssäkerhet (LIS) idag betyder att mycket arbete redan är gjort. Dock behöver det kompletteras och uppdateras enligt de nya NIS2-kraven enligt Cybersäkerhetslagen. Ett systematiskt och riskbaserat ledningssystem är lagkrav idag men dock inte ett NIS2-krav.
Vi rekommenderar att ni gör en GAP-analys på ert ramverk / ledningssystem för att se hur det kan uppdateras för NIS2-kraven.
Vi är bara leverantörer och inte själva ansvariga för säkerhetskänslig verksamhet eller äger säkerhetsskyddade uppgifter. Gäller lagarna ändå oss?
Källa SÄPO: En leverantör som endast deltar i någon annans säkerhetskänsliga verksamhet med stöd av ett säkerhetsskyddsavtal bör som utgångspunkt inte anses bedriva säkerhetskänslig verksamhet och behöver därför inte heller göra en säkerhetsskyddsanalys.
Att en leverantör deltar i någon annans säkerhetskänsliga verksamhet utesluter dock inte att leverantören samtidigt bedriver egen säkerhetskänslig verksamhet. En leverantör som har flera uppdrag som omfattas av krav på säkerhetsskyddsavtal kan i vissa fall, genom sina samlade uppdrag, anses bedriva säkerhetskänslig verksamhet. Detta medför att leverantören ska genomföra en säkerhetsskyddsanalys för att bedöma behovet av ytterligare säkerhetsskydd i den egna verksamheten än vad som redan följer av åtagandena i de säkerhetsskyddsavtal som ingåtts.
Enligt NIS2 och nya Cybersäkerhetslagen kommer också verksamheter som bedriver Samhällskritisk verksamhet bli skyldiga att säkerställa att deras underleverantörer uppfyller samma krav enligt lagen som de själva är ålagda att uppfylla. Läs mer om NIS2 och kravet ”Säkerhet i leveranskedjan”.
Varför ges stöd och vägledning bara till svenska bolag?
Såsom NIS2-direktivet är utformat så leder det till att bolag med verksamheter i flera olika länder troligen kommer behöva anpassa sig till respektive lands lag, gällande hur NIS2 ska tillpassas. Det blir komplexa strukturer som kräver mycket mer omfattande grundarbete för att få till ett effektivt, samordnat informationssäkerhetsarbete.
Varför vänder ni er i första hand till små och mellanstora bolag?
Små och mellanstora bolag är en grupp organisationer som specifikt lyfts upp i Försvarsberedningens rapport Kraftsamling (dec 2023) gällande Sveriges civilförsvar:
”Idag är kunskapen och kompetensen inom informations- och cybersäkerhetsområdet, särskilt hos små- och medelstora företag, begränsad. I många fall saknas grundläggande kunskap och
medvetenhet om hot och skyddsåtgärder.” Sid 235.
Försvarsberedningen skriver vidare att samarbetet mellan myndigheter och privat sektor måste förbättras. Och att det behöver finnas tillgång till information och stöd för företag med begränsade it-säkerhetsresurser gällande informations- och cybersäkerhet i fred och i krig.
Vi tror inte det räcker med bara information utan för att få igång ett fungerande säkerhetsarbete krävs konkret handledning, steg-för-steg-beskrivningar, om företagen ska komma igång snarast möjligt.
Försvarsberedningen betonar hela tiden att tiden är knapp: ”Det är tid för handling!” är inledningen på hela rapporten från Försvarsberedningen.
Vilka är små respektive mellanstora bolag?
Företag som har färre än 49 anställda räknas som små företag och de med 50 till 249 anställda klassas som medelstora. Små och medelstora företag utgör cirka 99,9 procent av de runt 1,2 miljoner (2022) aktiva företag som finns i Sverige och hos dem finns 65% av alla jobben (Svenskt Näringsliv 2023/2024).
Not: EU definierar delar upp företagen i tre nivåer; Mellanstora, Små och Micro (färre än 10 anställda) och har gränser för företagens balansomslutning. Behov av en informationssäkerhet gäller dock alla.
