Med NIS2-direktivet nu i kraft i stora delar av EU står energi- och tillverkningsorganisationer inför verkligheten av ett mycket striktare cybersäkerhetsramverk. De flesta medlemsländer har införlivat direktivet i sin nationella lagstiftning, men med olika definitioner, rapporteringstidslinjer och revisionskrav. Denna lapptäcke av regler innebär att företag som verkar i flera jurisdiktioner måste hantera olika skyldigheter samtidigt – en utmaning som redan överraskat vissa organisationer. 

Enligt NIS2 står både ”väsentliga” och ”viktiga” aktörer inför skärpta krav på riskhantering, leverantörskedjesäkerhet, incidentrapportering och ansvar på ledningsnivå. För energi- och tillverkningsföretag, vars system ligger till grund för vardagslivet och kritiska leveranskedjor, handlar det inte längre om en formalitet utan om en strategisk fråga om motståndskraft och rykte. 

Den nya verkligheten för energibolag 

Energisystem är ett prioriterat mål för både cyberkriminella och statsstödda aktörer. Direktivet kräver att operatörer stärker sina system, granskar leverantörer och implementerar robusta detektions- och responsförmågor. 

Tänk dig till exempel en regional elnätsoperatör som driver transformatorstationer och balanseringsplattformar i två EU-länder. Eftersom varje land har genomfört NIS2 på olika sätt måste operatören följa två regelverk och säkerställa att dess kontroller, processer och rapportering lever upp till det strängare av dem. Operatören behöver också införa multifaktorautentisering (MFA) för fjärråtkomst och entreprenörsinloggningar, segmentera kritiska nätverk och dokumentera alla förändringar. 

Om en ransomwaregrupp skulle kapa en leverantörs inloggningsuppgifter och manipulera styrlogiken i en transformatorstation, måste operatören lämna in en tidig varning inom 24 timmar och en detaljerad rapport inom 72 timmar – samtidigt som driften återställs och kommunikationen med allmänheten hanteras. Utan en väl inarbetad incidentresponsplan kan dessa parallella krav snabbt överbelasta interna team. 

OT SWE CTA

Tillverkningsutmaningen 

Tillverkare av kritiska komponenter för exempelvis flyg-, fordons- eller kemiindustrin klassas nu som ”viktiga aktörer” enligt NIS2. Detta innebär obligatoriska cybersäkerhets- och rapporteringskrav för både IT och operativ teknik (OT). 

Föreställ dig en tillverkare med flera anläggningar, hundratals IoT-sensorer, robotik och en komplex leverantörskedja. Under NIS2 måste företaget: 

  • Separera OT- och IT-nätverk samt införa intrångsdetektering i industrisystem. 
  • Införa patchning och ändringshantering, eller dokumentera kompensatoriska åtgärder när patchning inte är möjlig. 
  • Kräva att leverantörer uppfyller definierade säkerhetsstandarder, med kontraktsklausuler och revisionsrättigheter. 
  • Upprätthålla och regelbundet testa incidentrespons- och kontinuitetsplaner. 

Om en leverantör blir utsatt för ett intrång och skickar en skadlig firmwareuppdatering till en av tillverkarens robotkontroller, vilket leder till produktionsstopp, måste företaget isolera de drabbade linjerna, snabbt meddela myndigheterna och visa att ”lämpliga och proportionerliga” säkerhetsåtgärder fanns på plats. Ledningen är ansvarig för att säkerställa att detta ramverk existerar och testas regelbundet. 

Ledningsansvar enligt NIS2 

En av de mest betydande förändringarna som NIS2 för med sig är ledningens ansvar. Artikel 20 i direktivet (Styrning) fastställer tydliga skyldigheter för styrelseledamöter och högre chefer, vilket gör cybersäkerhet till en ledningsfråga snarare än enbart ett tekniskt ämne. 

Ledningsorganen har nu tre huvudansvar: 

  • Godkänna riskhanteringsåtgärder – Styrelsen måste formellt godkänna organisationens ramverk för cybersäkerhetsrisker och säkerställa att det överensstämmer med företagets riskaptit och regulatoriska skyldigheter. Detta kan inte längre helt delegeras till IT- eller säkerhetsteamen. 
  • Övervaka genomförandet – Ledningen förväntas aktivt övervaka hur cybersäkerhetsramverket implementeras, begära regelbundna rapporter, följa upp nyckeltal och hålla teamen ansvariga för framsteg. 
  • Delta i och främja utbildning – Styrelsemedlemmar måste själva delta i cybersäkerhetsutbildning och främja en säkerhetsmedveten kultur i hela organisationen. Det markerar ett kulturellt skifte där ledarskapet måste föregå med gott exempel. 

För många företag, där cyberrisk traditionellt har betraktats som en teknisk fråga snarare än en ledningsfråga, innebär dessa styrningskrav en verklig förändring i tänkesättet. Böter och ansvar kan riktas inte bara mot organisationen utan i vissa fall även mot ledande personer om dessa skyldigheter försummas. 

_CRA CTA SWE

Hur integrity360 hjälper 

Eftersom NIS2 är både en teknisk, styrnings- och leverantörskedjeutmaning gynnas organisationer av extern expertis som täcker alla dessa områden. På Integrity360 arbetar vi med energibolag och tillverkare över hela Europa för att: 

  • Kartlägga och klassificera system som omfattas av NIS2, inklusive gränsöverskridande verksamheter. 
  • Identifiera luckor mellan nuvarande kontroller och nationella NIS2-krav. 
  • Designa och implementera säkerhetsförbättringar som MFA, nätverkssegmentering, endpointdetektering och sårbarhetshantering i både IT- och OT-miljöer. 
  • Förbättra incidentresponsberedskapen med playbooks, tabletop-övningar och 24/7-övervakning. 
  • Hantera tredjepartsrisk genom due diligence, avtalsstöd och kontinuerliga leverantörsbedömningar. 
  • Ge rapportering på styrelsenivå så att ledningen kan visa ansvarstagande. 

Genom att kombinera rådgivning, managed services och praktisk teknisk expertis hjälper vi organisationer att gå bortom grundläggande efterlevnad och bygga verklig motståndskraft – vilket minskar både sannolikheten och effekterna av störande incidenter. 

Om din organisation är verksam inom energi, tillverkning eller någon annan sektor som omfattas av NIS2 är tiden att agera nu. Även i länder där den nationella implementeringen dröjer förväntar sig tillsynsmyndigheter att företag är på väg mot efterlevnad. Ett enda incidenttillfälle eller en missad rapporteringsdeadline kan leda till böter, skadat rykte och driftstörningar. 

Börja med att kartlägga dina skyldigheter i alla jurisdiktioner, utvärdera kontroller och leverantörskedja och engagera styrelsen. Testa sedan dina planer innan du behöver dem. Med rätt strategi och rätt partner kan NIS2 bli en katalysator för starkare och mer motståndskraftiga verksamheter – snarare än en efterlevnadsbörda. 

För att ta reda på hur Integrity360 kan stödja din NIS2-efterlevnadsresa, prata med en av våra specialister redan idag.