Från system till strategi: Så skapar du långsiktig cybersäkerhet med NIS2 

NIS2-direktivet ställer skärpta och utökade krav på hur organisationer ska skydda sin information, men också på hur de organiserar sitt säkerhetsarbete. För att lyckas räcker det inte med punktinsatser i enskilda IT-system. Det krävs en övergripande strategi där säkerhet vävs in i verksamhetens kärnprocesser. Det är här ett processorienterat angreppssättet visar sin verkliga styrka, som nyckeln till både efterlevnad och långsiktig resiliens. 

Det nya NIS2-direktivet från EU innebär ett tydligt skifte i hur samhällsviktiga och digitala verksamheter förväntas arbeta med cybersäkerhet. Fokus ligger på ett systematiskt och riskbaserat angreppssätt där informationssäkerheten måste genomsyra hela organisationen, inte bara dess IT system. För många innebär detta ett behov av att gå från ett applikationsbaserat arbetssätt till ett mer processorienterat synsätt, i linje med etablerade ramverk som ISO/IEC 27000-serien. 

Applikationsbaserat angrepssätt eller processorienterat tillvägagångssätt

Ett applikationsbaserat angreppssätt utgår i regel från enskilda tekniska system. Risker bedöms per applikation och skyddsåtgärder införs ofta utan koppling till verksamhetens övergripande mål eller kritiska processer. Det kan ge viss lokal kontroll men brister ofta i helhet och sammanhang, särskilt i komplexa miljöer där flera system samverkar. 

Det processorienterade tillvägagångssättet tar i stället sin utgångspunkt i organisationens kärnprocesser och hur information hanteras i praktiken. Det ligger helt i linje med principerna i ISO/IEC 27001, som betonar vikten av att informationssäkerhet ska utgå från verksamhetens behov, tillgångars betydelse och riskens kontext. Säkerhetsåtgärder ska vara proportionerliga och styras av systematiska riskanalyser – något som även NIS2 tydligt kräver i artikel 21 och 23, där både tekniska och organisatoriska åtgärder för kontinuitet, incidentrapportering och säkerhet i leveranskedjan lyfts fram. 

Genom att arbeta processorienterat blir det möjligt att identifiera var informationen är mest kritisk, vilka aktörer som ansvarar för den och hur den påverkar andra delar av verksamheten. Det skapar en tydlig koppling mellan risk, affärsnytta och ansvar. I enlighet med ISO/IEC 27005 kan riskhantering då integreras i ordinarie beslutsprocesser, snarare än bli ett separat IT initiativ. 

Ett processorienterat säkerhetsarbete underlättar också det kontinuerliga förbättringsarbete som både ISO 27001 och NIS2 förutsätter. Med hjälp av etablerade styrmodeller som PDCA (Plan-Do-Check-Act) kan åtgärder följas upp, utvärderas och justeras över tid. På så sätt blir informationssäkerheten en levande del av styrningen, snarare än en engångsinsats inför revision eller tillsyn. 

Applikationsbaserade angreppssätt tenderar däremot att skapa silos, där säkerheten hanteras olika beroende på system, utan gemensamma kriterier för risk eller konsekvens. Det försvårar inte bara samordning, utan riskerar också att överskatta skyddet i vissa delar av verksamheten samtidigt som andra lämnas exponerade. 

Valet av tillvägagångssätt blir avgörande

NIS2 kräver ett tydligt ledningsansvar för säkerheten enligt artikel 20, och ISO 27001 förespråkar ett integrerat ledningssystem för informationssäkerhet. Ett processorienterat arbetssätt gör det möjligt att uppfylla båda dessa krav på ett strukturerat och resurseffektivt sätt. Genom att knyta säkerhetsarbetet till den operativa verkligheten skapas inte bara bättre skydd, utan också en ökad förankring i organisationen som helhet. 

Ett processorienterat angreppssätt stödjer både de regulatoriska kraven i NIS2 och de etablerade standarder som ISO/IEC 27000-serien representerar. Det lägger grunden för ett robust, riskbaserat och affärsnära säkerhetsarbete som klarar såväl intern granskning som extern tillsyn. 

Vill du veta mer om hur vi kan stötta er i arbetet? Läs här: https://www.omegapoint.se/bank-och-finans/