För dig som driver verksamhet eller är säkerhetsansvarig finns det tre huvudområden att ha koll på bland förslagen i paketet: nya regler för säkerhet i leverantörskedjan, en ny process för certifiering inom cybersäkerhet samt ändringarna i NIS 2, som kan göra att det finns skäl att på nytt utvärdera om er verksamhet träffas av direktivet.
Stärkt fokus på säkerhet i leverantörskedjan
Många av de senaste årens allvarligaste cyberattacker har inte riktats direkt mot målet, utan gått via underleverantörer av mjukvara eller hårdvara. Idag är säkerheten i leveranskedjan för ICT-produkter inte enbart en fråga om produkterna i sig och teknisk säkerhet. Det är även en fråga om risker kopplade till leverantören, särskilt gällande leverantörens intressen, beroenden och eventuell utländsk inblandning.
Lagpaketet innehåller därför ett ramverk på EU-nivå för att på ett enhetligt sätt hantera icke-tekniska leverantörsrisker inom kritisk infrastruktur, och särskilt leverantörer utanför EU. Ramverket ställer inte omedelbara krav på enskilda företag, men ger EU möjlighet att vidta samordnade åtgärder för att hantera leverantörsrisker. Kommissionen föreslås exempelvis få befogenhet att identifiera leverantörer som utgör en hög risk. För dessa leverantörer kan det bli aktuellt med restriktioner eller förbud mot användning.
Om lagförslaget införs kan företag behöva se över sina processer för inköp av ICT-produkter och säkerställa att upphandlingar inte sker i strid med restriktioner som beslutats med stöd av det nya ramverket.
Förändrat certifieringssystem
Lagpaketet innefattar även förslag på en reform av det europeiska ramverket för certifiering inom cybersäkerhet med syfte att effektivisera och förenkla modellen. En central nyhet i ramverket (ECCF) är möjligheten att certifiera en organisations övergripande cybersäkerhetsstatus (”cyber posture”), snarare än enbart specifika produkter och tjänster.
Certifieringen är tänkt att fungera som en bekräftelse på regelefterlevnad, exempelvis gentemot kraven i NIS 2. Förutom att processen förenklas för leverantörerna, skapar detta ett kraftfullt verktyg för beställare: genom att välja certifierade samarbetspartners kan företag enklare validera och säkra sin leverantörskedja.
Förändringar i NIS 2-direktivet
Medan kraven på säkerhet ökar, har kommissionen också lyssnat på näringslivets oro kring den tunga byråkratin. En central del i lagpaketet består av förändringar av NIS 2-direktivet för att minska onödig administrativ börda.
Ändringarna ska bland annat se till att direktivet tillämpas på ett rimligt sätt på elproducenter. Många fastighetsbolag med liten elproduktion – t.ex. genom solceller – har varit osäkra på om NIS 2 träffar dem. Enligt förslaget ska det krävas minst en viss elkapacitet för att en aktör ska träffas av direktivet (och då även den svenska implementeringen genom cybersäkerhetslagen).
Lagpaketet innehåller även förslag på ändringar av NIS 2 med anledning av det förändrade omvärldsläget. Bland annat föreslås ändringar för att säkerställa att undervattenskablar omfattas av NIS 2.
Hur rustar ni er?
Förslaget går nu vidare till Europaparlamentet och rådet för behandling och det återstår att se vilka delar i paketet som blir verklighet. Att navigera i det här nya och snabbföränderliga rättsliga landskapet kräver en helhetssyn. Det handlar om att förstå hur tekniska beroenden påverkar legal risk och hur juridisk regelefterlevnad kan vändas till en konkurrensfördel.
Är ni osäkra på om och hur ni hanterat cyberrisker i era leverantörsavtal, eller är ni osäkra på hur de föreslagna ändringarna kan påverka er verksamhet?
Vi på Forefront kan hjälpa er att bedöma om och hur ni påverkas av de föreslagna ändringarna. Kontakta oss så berättar vi mer om hur vi kan säkra er digitala framtid och regelefterlevnad.
