Hem
Om Oss
Blogg
Hur rustar din organisation sig för NIS2-direktivet och digital säkerhet - Har ni det som krävs?

Hur rustar din organisation sig för NIS2-direktivet och digital säkerhet - Har ni det som krävs?

Under sommaren var vi många som blev påverkade när cybersäkerhetsföretaget Crowdstrike fick problem med en uppdatering som orsakade teknikstrul världen över och i samband med detta lamslogs helt olika verksamheter världen över. Bland annat påverkades Microsoft med operativsystem Windows likaså internationella flygbolag, banker och svenska trafikbolag osv. Det tom påverka LKAB´s gruva i Malmberg som av säkerhetsskäl behövde utrymmas. 

Under de senaste tolv månaderna har antalet offer för cyberutpressning ökat med 46 procent globalt, till den högsta nivån någonsin. 40 procent av attackerna drabbade stora företag med fler än 10 000 anställda. 23 procent drabbade medelstora företag och 25 procent drabbade små verksamheter.


Cyberhoten växer – är din organisation redo?

Vi, Capa är verksamma inom rekrytering och interimslösningar ser nu ett allt större behov hos våra kunder att finna kompetens inom cybersäkerhet när man rekryterar till positioner såsom CTO, CISO, CIO och CDO. 

I vårt nätverk har vi gedigen spetskompetens och i denna artikel kommer Ulf Berglund, Acting CISO & Enterprise Security Architect med över 30 års erfarenhet inom IT säkerhet att dela med sig av tankar inför kommande NIS-2 krav.  

Ulf, vem är du? 

-Jag började min yrkesverksamma bana inom Försvarsmakten där jag var aktivt verksam i mer än 20 år. Varav de sista 7 åren vid Militära Underrättelse och Säkerhetstjänsten som Försvarsmaktens IT säkerhetschef. Uppgifterna var att skriva Försvarsmaktens Regelverk för IT säkerhet, delta som säkerhetsarkitekt i de större Försvarsmaktsprojekten som rörde Försvarsmaktens IT systemen. Vidare att kontrollera efterlevnaden av regelverket.  

Mitt intresse och nyfikenhet för IT säkerhet fick mig att ta Magisterutbildning i Säkerhetsinformatik i ämnet Informationssäkerhet och Etik och började en ny bana som management konsult med spets inom cyber security. Detta har lett mig mot den privata sektorn och jag har haft uppdrag på bolag såsom Scania, Länsförsäkringar, Sandvik, HM och Vasakronan där jag bla verkar som; Head of IT Security Services (ITSS) och Security Incident Response Team (SIRT), Taktisk IT säkerhetsansvarig, CISO, CTO och säkerhetsarkitekt 

Du har ju en lång och många års erfarenhet inom området cyber security och detta område påverkar ju i princip alla verksamheter i ett bolag, exempel är fastighetsbolag som implementerar solcellsparker, fordonsindustrin som använder sig av laddstationer och cyberintrång kan ske där man minst anar tex via fiber och 5G. Hur bör man som organisation tänka här? 

-Absolut så påverkar det hela bolaget om man nu berörs, vilket innebär att en inledande analys måste vara gjord. Några branscher är ju redan ganska klara såsom banker och energibolag där det finns mycket som redan är på plats. För några andra kan det kräva en hel del arbete. Då är det mycket viktigt att företagsledning ger sitt fulla stöd för de åtgärder som behövs göras. Det kommer vara många roller som måste bidra typ CISO, CTO, bolagsjuristerna och många av de affärsansvariga. Så här gäller det att jobba tillsammans och inte hamna i silo-tänket. Det är som bekant lite tufft med tiden - ”sense of urgency”. Inte att förglömma är att sanktionerna i samma storleksordning som inom GDPR. Kör igång ett projekt med ett tydligt ansvar och mandat är mitt råd. 

Framåt kommer NIS2-direktivet att bli lagstiftning, kan du ge oss en djupdykning i vad detta innebär? 
  • NIS2-direktivet (The Directive on security of network and information systems) är ett EU-direktiv som ska stärka EU-medlemsländernas cybersäkerhet. Lagstiftningen av direktivet ska vara på plats senast 2024. 
  • För att omfattas av direktivet krävs det att man har en årsomsättning eller balansomslutning som överskrider 10 miljoner euro, närmare 100 Mkr. Högsta ledningen, exempelvis bolagsstyrelsen eller vd:n, kan bli personligt ansvariga vid bristfällig hantering. 
  • För att uppfylla kraven inom NIS2 krävs det att man jobbar systematiskt med cybersäkerhet och har de arbetssätt och verktyg som krävs. 
  • Några av de krav som behöver uppfyllas är tex: Strategier för riskanalys, hantering av incidenter, strategier och rutiner för att bedöma effektiviteten i riskhanteringsåtgärder, säkerhet i leveranskedjan. 
Högkritiska sektorerna är bla:  
  • Energi (elektricitet, fjärrvärme, fjärrkyla, olja, gas, vätgas) 
  • Transporter (lufttransport, järnvägstransport, sjöfart, vägtransport) 
  • Bankverksamhet 
  • Finansmarknadsinfrastruktur 
  • Digital infrastruktur (molntjänster, datacentraltjänster, nätverk för leverans av innehåll, registreringsenheter för toppdomäner, allmänna elektroniska kommunikationsnät och allmänt tillgängliga elektroniska kommunikationstjänster) 

Än har det slutliga förslaget inte nått dagens ljus så det är oklart vem som blir tillsynens organ. Det kan tom bli så att det blir branschberoende som exempel MSM för stat och kommun, Finanasinspektionen för t ex. Dock står det nog klarat att CERT SE skall man rapportera in incidenter till. 

Om du skulle trendspana inom området cyber security vad ser du framöver och tex hur kommer AI påverka detta område? 

-Vi är ännu i denna eras begynnelse, alltså spännande och utmanande. Vi måste lära oss mer och  förhålla oss till utvecklingen och försöka hänga med. AI kommer ge oss så mycket positivt, men som ofta finns det en baksida. De "onda" kommer utveckla verktyg och attackmöjligheter som snabbt kan nyttjas mot oss. Samarbete och information över gränser kommer bli nödvändigt än mer än idag. För oss som jobbar inom Cybersecurity tror jag AI kommer nyttjas för att jaga "buset" på olika nivåer, rent tekniskt. Här ser jag bara möjligheter, men vi måste lära oss mer och det kan vi göra tillsammans. 

--
När vi på Capa genomför rekryteringar eller gör interimstillsättningar jobbar vi alltid utifrån egen djup kompetens där erfarenhet, nätverk och kunskap är viktigt. Har du behov av förstärkning i form av en CTO, CISO, CIO eller CDO hjälper vi dig gärna. 

Andra blogginlägg

2/1/2025
Heja Sverige – att bygga nätverk med Silicon Valley

Gästblogg av Andrea Tegstam, svensk på plats i Silicon Valley, där hon sedan 2016 stödjer amerikanska och europeiska företag med kompetensrekrytering och nätverk.

Läs mer
Blogg
2/1/2025
Hur rustar din organisation sig för NIS2-direktivet och digital säkerhet - Har ni det som krävs?

Antalet cyberattacker har skjutit i höjden, och ingen går säker – från globala bolag till små verksamheter. Hur rustad är din organisation för att möta hoten?

Läs mer
Blogg
2/1/2025
När erfarenhet väger tyngre än bransch – en resa mellan Telecom och köksbranschen

Vad händer om vi ser bortom branscherfarenhet och fokuserar på ledarskap? Läs om hur erfarenheter från Telecom blev nyckeln till framgång i köksbranschen.

Läs mer
Blogg
Se alla blogginlägg
Lediga tjänster

Utforska våra tillgängliga tjänster.

Här presenterar vi de senaste uppdragen från våra samarbetspartners, med en samlad översikt av aktuella projekt och möjligheter. Håll dig uppdaterad och ta del av det senaste från våra pålitliga och engagerade partners.

Se alla tjänster
members having a zoom call