Nya säkerhetskrav från EU skapar spännande möjligheter. Är minst lika viktiga som GDPR.

Den 23 februari 2024 träder EU-kravet NIS2 i kraft. Här måste företag inom de flesta större sektorer, som har mer än 50 anställda och en omsättning över €10 miljoner, anpassa sig till ett direktiv där syftet är att bli mer robusta mot digitala hot. I början av 2025 kommer även DORA-direktivet som riktar sig särskilt mot bank- och finanssektorn samt ICT-tjänsteleverantörer.

Monica Verma

Group Chief Information Security Officer

"I flera sammanhang är DORA och NIS2 för cybersäkerhet vad GDPR är för skydd av personuppgifter. Det är regler som styr vad företag måste göra för att minska risker och undvika att bli offer för cyberattacker, samt procedurer vid incidenter, inklusive rapportering till myndigheten"

Måste rapportera inom 24 timmar

Verma är säkerhetschef (CISO | Head of Security & Privacy) för Orange Business i Europa. Hon har arbetat med säkerhet i över 20 år, särskilt inom de sektorer där kraven är strängast och där det finns flest regleringar; bank- och finanssektorn samt inom hälsosektorn. Hon är därför väl förtrogen med vad som måste göras när nya direktiv införs.

– NIS2 och DORA fokuserar tydligt på de säkerhetsåtgärder som måste vara på plats, riskhanteringen och hur man ska rapportera till myndigheterna om man drabbas av en säkerhetsincident, säger hon.

– Böterna för att bryta mot NIS2 kommer att vara jämförbara med GDPR, det vill säga upp till två procent av företagets globala omsättning. För DORA är detta ännu inte bestämt, säger Verma.

Det är ledningens ansvar

Verma säger att riskhantering är ett ansvar för ledningen. Det är något som bank- och finanssektorn redan är duktiga på. Med NIS2 och DORA är det nu ännu viktigare att se till att detta ansvar är väl känt och genomfört hos ledningen i organisationen.

– DORA och NIS2 kräver att ledningen bevisar att risken är väl beaktad. Man måste kunna visa att tillräckligt med tid och resurser har avsatts och att det finns beredskapsplaner. Att göra detta arbete noggrant gör att fler förstår vilken risk de är utsatta för och prioriterar säkerhetsåtgärder, säger hon.

För att lösa uppgiften krävs ramverk för riskhantering som är anpassade för företag med kritisk infrastruktur.

– Jag rekommenderar mina kunder att kartlägga olika riskscenarier och bedöma dessa i förhållande till hur hoten påverkar verksamheten, säger hon.

Utöver konsekvenserna för verksamheten blir bedömningar av hotlandskapet en extremt viktig del av ramverket för riskhantering.

Hur robust är din bank?

I hotvärderingen är det viktigt att tänka på var hoten kan komma ifrån. Om du tillhör ett stort företag eller en offentlig institution kan attacken komma från en främmande stat. Annars kan alla företag av alla storlekar vara mål för allt från professionella kriminella miljöer som kontinuerligt letar efter säkerhetshål, till ungdomar som inte förstår bättre - och som enkelt kan hitta recept på nätet om hur man utför digitala attacker.

I fallet med DORA betonas särskilt bank- och finanssektorns motståndskraft mot digitala attacker. Här kommer också TIBER-EU-ramverket att spela en roll. Det har utvecklats av Europeiska centralbanken för att testa finansinstitutens förmåga att upptäcka och förebygga digitala attacker. Likaså viktigt är kravet att denna sektor ska dela relevant hot- och säkerhetsinformation mellan varandra i nätverket.

– Det är viktigt att ha svar på hur banken snabbt kan återhämta sig efter en attack och vilka åtgärder som vidtagits för att säkerställa att infrastrukturen med alla transaktioner inte går ned. Om något sådant skulle inträffa skulle förlusterna vara på många miljarder kronor. Därför ställer DORA krav på att bankernas motståndskraft testas, säger hon.

Du måste ha kontroll över hela din värdekedja.

Därför måste man också vara särskilt medveten om säkerheten hos sina leverantörer, där banker enligt DORA är ansvariga för sina leverantörers säkerhet. Kriminella kan ofta uppleva att det är lättare att attackera via leverantörer som inte har samma strikta säkerhetsmekanismer.

– Cyberbrottslingar kommer att försöka få tillgång till banken via tredjepartsleverantörer i leveranskedjan. Om dessa leverantörer fortsätter att leverera till bank och finans måste de bevisa att de uppfyller alla regler i DORA. Det är något som vi håller på att få på plats på Orange Business, säger Verma.

Säkerhet blir därför ett stort konkurrensfördel i upphandlingar, där potentiella leverantörer måste dokumentera sina procedurer och mekanismer kring säkerhet, om de ska leverera till företag som måste följa DORA och NIS2.

Verma anser att förutsättningen för att följa reglerna är att börja med att förstå den nuvarande säkerhetssituationen och göra en gap-analys gentemot kraven i direktivet.

Har du planen klar?

– Det är viktigt att involvera ledningen så att de förstår vad som kommer. De måste förstå att de nya reglerna utgör en mycket effektiv försäkring mot något av det värsta som kan drabba företaget.

När analysen är på plats är det viktigt att inse att du inte kan göra allt på en gång, och det handlar om att ha en förankrad framdriftsplan. Vad behöver göras? Av vem? Vilka resurser behöver du? Vem är lämplig att hjälpa er? Vad är prislappen på projektet?

– Gör jobbet i etapper. Ta först de största eller enklaste riskerna att åtgärda. Kom ihåg att banker och andra leverantörer lever på kundernas förtroende. DORA och NIS2 handlar om att skapa trygghet, och god säkerhet är därför en konkurrensfördel.

Hon betonar att Orange Business erbjuder både rådgivning för att hjälpa kunderna att möta de stränga reglerna och själva tjänsterna som uppfyller kraven när de är införda.

– För de flesta inom bank och finans kommer DORA att vara ett naturligt nästa steg i investeringen för att öka mognaden och motståndskraften inom finanssektorn. Många är redan mycket skickliga på dessa områden och är skickliga på att hantera risker, men vissa kommer nog att behöva hjälp för att testa hur robusta och motståndskraftiga de egentligen är, avslutar hon.

Ta gärna kontakt om du vill veta mer!

Monica Verma
Group CISO
Kontakt