Nu i höst träder NIS2, det andra EU-direktivet för nätverks- och informationssäkerhet, i kraft och blir till svensk lag. Men är det bara ett krav som ska bockas av i rätt ruta, eller blir det starten för ett säkrare Europa? Åsa Edner, Sverigechef på cybersäkerhetsföretaget Palo Alto Networks, beskriver här det nya regelverket.
Det nya nätverks- och säkerhetsdirektivet är kanske det viktigaste regelverket som hittills införts i Europa. Där NIS1 påverkade 3 000 myndigheter och företag, kommer NIS2 att omfatta 30 000 organisationer. Dessutom blir påföljderna för de som inte uppfyller kraven mycket större. I straffskalan ingår såväl höga böter som personligt ansvar för ledning och styrelse.
Men vilken betydelse kommer NIS2 i verkligheten att få för cybersäkerheten i Europa? Får vi se en våg av nya investeringar i bättre säkerhet, eller ett strängt regelverk som dödar innovation? Jag hoppas och tror på det första alternativet.
Det finns utan tvekan ett faktiskt behov av NIS2. En ny undersökning från Palo Alto Networks visar att det bara är 28 procent av säkerhetscheferna som regelbundet testar sina beredskapsplaner. Detta under en tid då hotbilden utvecklas allt snabbare, med starkt stöd av generativ AI. Ett färskt exempel kommer från vår egen forskningsavdelning Unit42, som studerat en incident där hotaktören kom över 2,5 terabyte data på bara 14 timmar. En snabbhet som vi aldrig sett förut.
EU-kommissionen hoppas att NIS2-förordningen kommer att skapa en gemensam front mot attacker, där cyberresiliens blir en integrerad del av organisationskulturen. Kritikerna menar å andra sidan att NIS2 är en överreglering. Stränga regelverk och hot om viten för bristande efterlevnad kan göra organisationer och företag onödigt försiktiga och konservativa i sitt säkerhetsarbete. Något som kan bli farligt när vi möter en komplex hotbild.
I praktiken kan det innebära att företag väljer tekniska lösningar som visserligen uppfyller kraven, men som inte svarar mot nya utmaningar och affärsbehov. En positiv kraft är att NIS2 uppmuntrar företag att integrera säkerhetshöjande teknologi som AI och maskininlärning för att förbättra kapaciteten och säkerheten i sina nätverk och informationssystem.
Det finns flera sätt som NIS2 kan främja innovation inom säkerhetsområdet. Det kan till att börja med skapa en större marknad för säkerhetslösningar och säkerhetstjänster. Ökad efterfrågan kan fungera som en katalysator för transformation när många leverantörer tävlar om att utveckla lösningar som möter nya behov.
Vidare blir det nödvändigt att ta till sig ny säkerhetsteknik och utveckla nya metoder som avancerad hotdetektering och incidenthantering. Exempelvis kan förbättrade plattformar, där AI och automatisering finns inbyggt, säkerställa att rutinerna för incidenthantering följer best practise. AI kommer också att utnyttjas i säkerhetsverktyg för filtrering och förebyggande åtgärder som förhindrar många olika slags cyberattacker.
Jag är också övertygad om att NIS2 resulterar i bättre samarbete mellan företag och myndigheter, vilket är viktigt för innovation, spridning av kunskap och ny teknik. Därför ser jag optimistiskt på det nya direktivet och dess konsekvenser. Det kommer att leda oss till ett säkrare Europa, skapa ett tryggare näringsliv och samhälle, och driva en ny våg av innovation.
Åsa Edner
Sverigechef
Palo Alto Networks