Jag läste (minns inte var nu, så ta det för vad det är) att  60% av de svenska företagen rapporterar att de är medvetna om Nis2-direktivet och dess krav. Men bara 35% anser sig vara tillräckligt förberedda för att uppfylla dessa krav. Detta kan man väl säga antyder att det faktiskt finns en betydande klyfta mellan medvetenhet och faktisk förberedelse.

Jag läste också en rapport från Myndigheten för samhällsskydd och beredskap (MSB) att många svenska verksamheter saknar en formell strategi för att hantera Nis2-kraven, trots att de är medvetna om dess betydelse. Många företag har dock börjat implementera åtgärder för att förbättra sin cybersäkerhet vilket ju är jättebra!

Nis2 och ISO 27001-certifiering

För företag som redan är ISO 27001-certifierade kan steget till att bli Nis2-kompatibla vara mindre omfattande än för de som inte jobbat med det alls. ISO 27001 är ju en internationell standard för informationssäkerhet som inkluderar många av de kontrollåtgärder och processer som Nis2 kräver. De företag som redan följer ISO 27001 sannolikt bättre rustade att uppfylla Nis2-kraven, eftersom många av principerna och säkerhetsåtgärderna överlappar.

Utmaningar och nästa steg

Trots likheterna som finns mellan Nis2 och ISO 27001 finns det specifika krav i NIS2 som kan kräva ytterligare åtgärder, såsom striktare rapporteringsskyldigheter och mer omfattande riskhanteringsstrategier. Jag över övertygad om att en av de största utmaningarna för svenska företag att anpassa sina nuvarande säkerhetsåtgärder till de nya kraven och att säkerställa att alla delar av verksamheten är engagerade i säkerhetsarbetet. Detta är inte bara en teknisk fråga utan en förändringsfråga.

Kort sammanfattat; för att förbättra förberedelserna rekommenderas företag att:

1. Utföra en omfattande bedömning av sin nuvarande säkerhetsställning.
2. Implementera en formell strategi för att möta Nis2-kraven.
3. Utbilda personalen om de nya reglerna och deras betydelse.
4. Använda externa experter vid behov för att säkerställa att alla aspekter av Nis2-efterlevnaden är täckta (om man inte har experter inhouse såklart).

Svenska företag och verksamheter har tagit viktiga steg mot att förbereda sig för Nis2, men det finns fortfarande mycket arbete kvar att göra. För företag som redan är ISO 27001-certifierade är grunden stark att stå på, men ytterligare åtgärder behövs för att säkerställa fullständig efterlevnad. Genom att ta proaktiva steg redan nu kan svenska företag bättre skydda sina nätverk och information, och därmed bli mer motståndskraftiga mot cyberhot i framtiden. Det är ju exakt det här vi vill och dit vi måste komma – det finns ingen tid att spilla längre. Den digitala världen rör oss alla och den behöver skyddas.