En sårbarhet som regelbundet förbises i cybersäkerhetsarbetet är verksamhetens medarbetare. Samtidigt krävs det inte mycket för en lyckad hackarattack. Ett oaktsamt klick på en skadlig länk i ett mejl. En underlåten säkerhetsuppdatering. Ett svagt lösenord. Konsekvenserna kan bli katastrofala för verksamheten och berörda parter, till exempel när ett sjukhus eller en bank lamslås av en ransomware-attack. Att antalet lyckade cyberattacker ökat kraftigt under de senaste åren visar att sårbarheterna är verkliga och utnyttjas.
Tillväxten i antalet cyberattacker och de katastrofala konsekvenser de kan leda till har noterats av lagstiftaren som arbetar intensivt med att skärpa kraven på verksamheters cybersäkerhet. En del i detta arbete är NIS 2-direktivet som har vidsträckta krav på åtgärder för cybersäkerhet. Aktörer som omfattas av regelverket ska bland annat implementera långtgående riskhanteringsåtgärder för grundläggande praxis för cyberhygien och utbildning i cybersäkerhet. Dessa åtgärder syftar till att minimera de risker som härrör från en bristfällig hantering av cybersäkerhetsfrågor i medarbetares dagliga arbete.
Till skillnad från det gamla NIS-direktivet ställer NIS 2-direktivet uttryckliga krav på en minsta uppsättning av riskhanteringsåtgärder vilket bland annat inkluderar åtgärder för grundläggande praxis för cyberhygien och utbildning i cybersäkerhet, se artikel 21.2 (g) NIS 2-direktivet. Bestämmelsen beskriver emellertid inte hur dessa åtgärder ska utformas i det konkreta fallet. Samtidigt ska åtgärderna bland annat beakta de senaste europeiska och internationella standarderna, se artikel 21.1 NIS 2-direktivet. Aktörer som omfattas av regelverket kan således hämta inspiration från vedertagna standarder på området information- och cybersäkerhet för att implementera lämpliga åtgärder för cyberhygien och utbildning. Ett exempel på en sådan standard är ISO 27001 (se bland annat avsnitt 7.3 i ISO 27001:2022 om medvetenhet).
Därutöver har EU-kommissionen utfärdat specifikationer som förtydligar kraven för vissa typer av aktörer, däribland leverantörer av molntjänster och leverantörer av datacentraltjänster. Specifikationerna har tagits fram med beaktande av vedertagna standarder på området information- och cybersäkerhet såsom ISO 27001-standarden. Lagstiftningen som fastställer specifikationerna har implementerats i form av en genomförandeförordning (EU) 2024/2690 som fastställer de tekniska och metodologiska specifikationerna för de åtgärder som avses i punkt 21.2 NIS-direktivet med avseende på vissa aktörer. Lagstiftningsförfarandet regleras i artikel 21.5 NIS 2-direktivet. Aktörer som omfattas av genomförandeförordningen betecknas som berörda entiteter.
De specifikationer som gäller för berörda entiteters åtgärder för grundläggande praxis för cyberhygien och utbildning i cybersäkerhet återfinns i punkt 8 i bilagan till genomförandeförordningen. Specifikationerna, som grundar sig på artikel 21.2 (g) NIS 2-direktivet, delas in i två delar; (i) medvetandehöjande och grundläggande praxis för cyberhygien, och (ii) säkerhetsutbildningar. I det som följer nedan ges en beskrivning av kravens båda delar.
Medvetandehöjande och grundläggande praxis för cyberhygien
Specifikationerna i denna del innebär att berörda entiteter ska säkerställa att deras anställda och direkta leverantörer och tjänsteleverantörer är medvetna om riskerna, har kunskap om betydelsen av cybersäkerhet och tillämpar praxis för cyberhygien. Begreppet anställda inbegriper personer i berörda entiteters ledningsorgan. I detta syfte ska berörda entiteter erbjuda ett program för att öka medvetenheten. Programmet ska schemaläggas över tid, så att aktiviteterna upprepas och täcker nya anställda. Vidare ska programmet fastställas i enlighet med en berörd entitets strategi för nätverks- och informationssäkerhet, ämnesspecifika strategier och relevanta förfaranden för nätverks- och informationssäkerhet. Programmet ska därutöver omfatta relevanta cyberhot, de riskhanteringsåtgärder för cybersäkerhet som införts, kontaktpunkter och resurser för ytterligare information och råd om cybersäkerhetsfrågor samt cyberhygienpraxis för användare. Dessutom ska programmets effektivitet testas (när så är lämpligt). Slutligen ska programmet uppdateras och erbjudas med planerade intervall med beaktande av ändringar av praxis för cyberhygien och rådande hotbild och risker för den berörda entiteten.
En fråga som kommer upp är vad som menas med grundläggande praxis för cyberhygien. Enligt skäl 5 till genomförandeförordningen inbegriper begreppet spektrumåtgärder, däribland principen om noll tillit, programuppdateringar, enhetskonfiguration, nätverkssegmentering samt identitets- och åtkomsthantering. Därutöver nämner skälet användarmedvetenhet, anordnande av personalutbildning och åtgärder för att öka medvetenheten om cyberhot, nätfiske eller metoder för social manipulering. Enligt skälet bör berörda entiteter även överväga sådan praxis som en policy för en tom bildskärm och renstädat skrivbord, användning av flerfaktorsautentisering eller andra autentiseringsmetoder, säker e-postanvändning och webbsökning, skydd mot nätfiske och social manipulering samt säkra rutiner för distansarbete.
Säkerhetsutbildning
Enligt specifikationernas andra del ska berörda entiteter i ett första steg identifiera anställda vars roller kräver säkerhetsrelevanta färdigheter och expertkunskaper. I ett andra steg ska berörda entiteter säkerställa att dessa anställda regelbundet utbildas om säkerhet i nätverks- och informationssystem. I detta syfte ska berörda entiteter fastställa, införa och tillämpa ett utbildningsprogram. Programmet ska vara i linje med strategin för nätverks- och informationssäkerhet, ämnesspecifika strategier och andra relevanta förfaranden för nätverks- och informationssäkerhet som fastställer utbildningsbehoven för vissa roller och befattningar baserat på kriterier. Programmet ska regelbundet uppdateras och genomföras med beaktande av tillämpliga strategier och regler, fördelningen av roller, ansvarsområden samt kända cyberhot och teknisk utveckling.
Utbildningen av anställda vars roller kräver säkerhetsrelevanta färdigheter och expertkunskaper ska vara relevant för den anställdes arbetsuppgifter. Utbildningen ska ta hänsyn till befintliga säkerhetsåtgärder och omfatta anvisningar för säker konfiguration och drift av nätverks- och informationssystem, inbegripet mobil utrustning. Vidare ska utbildningen omfatta information om kända cyberhot och utbildning om agerande vid säkerhetsrelevanta händelser. Därutöver ska utbildningens effektivitet bedömas.
Slutligen ska berörda entiteterna även utbilda personal som övergår till nya befattningar och roller som kräver säkerhetsrelevanta färdigheter och expertkunskaper.
Slutsatser
Ovanstående redovisning förtydligar att NIS 2-direktivet ställer omfattande krav på åtgärder för grundläggande praxis för cyberhygien och utbildning i cybersäkerhet. I NIS 2-direktivet underlåter lagstiftaren att specificera utformningen av dessa åtgärder närmare och hänvisar aktörer som omfattas av regelverket till vedertagna standarder på området informations- och cybersäkerhet. Samtidigt utfärdas särskilda specifikationer för åtgärdernas utformning som gäller för vissa aktörer. Detta görs i form av EU-kommissionens genomförandeförordning (EU) 2024/2690 som i sin tur baseras vedertagna standarder för informations- och cybersäkerhet.
Specifikationerna i genomförandeförordningen är utformade på ett sätt som kräver ett kontinuerligt och praktiskt riskhanteringsarbete som är förankrad i berörda entiteters verkliga verksamhet. Arbetet ska dokumenteras på ett sätt som möjliggör granskningar som i sin tur ska vara utgångspunkten för förbättringar. Dokumentationen behövs även för att kunna styrka regelefterlevnad gentemot tillsynsmyndigheter. Även aktörer som inte omfattas av genomförandeförordningen gör klokt i att titta på kraven som regleras däri. Det är inte uteslutet att EU-kommissionen kommer att fastställa ytterligare specifikationer som omfattar en större krets leverantörer i framtiden, möjligheten därtill finns enligt artikel 21.5 NIS 2-direktivet.