Har du koll på er IT-säkerhet?

Under senare tid har flera företag drabbats av cyberattacker. Och snart skärps kraven om ökad IT-säkerhet med nya EU-direktiv. Vad behöver företag tänka på nu? Vi frågade Jonas Magazinius, IT-säkerhetsexpert och vd för Assured.

– En förändring som är bra för ledare att känna till och som kommer med det nya EU-direktivet NIS2 är att ledning och styrelse får ett ökat ansvar för företagets cybersäkerhet och kan ställas till svars om det inträffar en incident. Därmed ses cybersäkerhet som en del av det strategiska arbetet, säger Jonas Magazinius.

NIS2 är en vidareutveckling av Nis-direktivet och är till för att skapa en hög nivå av säkerhet i nätverk och informationssystem för offentliga och privata verksamheter inom EU.

– De som omfattas är stora till mellanstora företag verksamma inom samhällskritiska områden, till exempel energi, transport och digital infrastruktur. Bra att veta är att hela leverantörskedjan omfattas, så är du leverantör till ett sådant företag kan du förvänta dig att samma krav kommer att ställas på dig.

Kurs: IT-säkerhet 20 maj

Cyberattacker får större konsekvenser

NIS2 är bara ett av flera nya eller pågående direktiv inom IT- säkerhet, ett ämne som blivit högaktuellt.

– Min bild är att cyberattacker får större konsekvenser idag. Förr kanske det innebar att ett företag stod stilla, medan flera av de senaste attackerna som skett spridit sig till fler företag och även påverkat samhället. Vi ser också en ökad transparens där fler vågar berätta om de drabbats av en cyberattack, säger Jonas Magazinius.

"Bilden av hackaren som ensamvarg stämmer inte längre, idag handlar det ofta om organiserad brottslighet där man bygger upp ett ekosystem av olika aktörer. Allt från de som knäcker och säljer lösenord till de som utför attacken eller hanterar supportärenden", säger Jonas Magazinius, vd Assured.

Bland den vanligaste formen av cyberattacker nämner han Ransomware, där kriminella tar sig in i nätverket för att samla och kryptera information och sedan begära lösensumma. Men även så kallade VD-scam, mail där någon utger sig för att vara vd och uppmanar till en ekonomisk transaktion.

– Ofta har de samlat mycket information via interna system i förväg, så som hur stora affärer ett företag brukar göra och att en affär kommer att äga rum en viss dag, vilket gör det svårare att genomskåda.

Så skyddar du ditt företag

För att skydda sitt företag poängterar Jonas Magazinius vikten av att verifiera att era tekniska säkerhetslösningar fungerar som de ska och att det finns tydliga rutiner för hur företaget hanterar en incident.

– Om en incident inträffar är det viktigt att alla vet vad de ska göra och i vilken ordning. Det handlar om allt från vem som ringer till vem, till att ha en rutin för hur vi återställer våra system med den backupplösning vi valt. Det vill säga ni behöver både göra tekniska test för att verifiera att er säkerhet fungerar och övningar där era anställda får prova att agera utifrån en fiktiv händelse.

Och även om det viktigaste motivet att arbeta med IT-säkerhet är att skydda tillgångar, information och datasystem, kan det också vara en konkurrensfaktor.

– Jag gillar att se säkerhet som en möjliggörare och värdeskapare. Tänk bara på alla molnlösningar och e-handel där vi inte skulle våga använda tjänster om vi inte trodde att de var säkra och hanterade våra uppgifter på ett tryggt sätt.

Tre aktuella säkerhetsdirektiv

NIS2: Innehåller både tekniska och organisatoriska krav för att uppnå en hög nivå av säkerhet i nätverk och informationssystem hos offentliga och privata verksamheter inom EU. Berör företag med fler än 50 anställda eller en omsättning på över 10 miljoner euro inom samhällskritiska verksamheter, samt leverantörer till dessa.

Börjar tillämpas inom EU 18 oktober 2024, men är inte fastställt i svensk lag än.

CRA (Cyber Resilience Act): Ställer cybersäkerhetskrav på tillverkare och leverantörer av produkter eller programvara med digitala, uppkopplade komponenter för att skydda konsumenter. Kraven sträcker sig genom hela produktens livscykel.

Antas tidigast under 2024, och implementeras nationellt tidigast 2026.

Dora (Digital Operations Resilience Act): Regelverk som berör riskhantering och verksamhetsförmåga inom cybersäkerhet för aktörer på finansmarknaden, däribland banker, försäkringsbolag och värdepappersföretag.

Trädde i kraft 16 januari 2023 och tillämpas 24 månader senare.

VILL DU LÄRA DIG MER OM IT-SÄKERHET?

Jonas Magazinius en av kursledarna i Västsvenska Handelskammarens kurs om IT-säkerhet för dig som ledare eller styrelseledamot. Här lär du dig mer om Cybersäkerhet och EU:s nya IT-direktiv NIS2, CRA och Dora, och hur de påverkar ditt företag.

Kurs IT-säkerhet 20 maj