När EU:s uppdaterade cybersäkerhetsdirektiv NIS2 trädde i kraft i oktober 2024 förändrades spelreglerna för tusentals svenska verksamheter – inte minst för dem som driver industriella styrsystem inom energi, vatten, transport och tillverkning. Kraven är tydligare, ansvaret är skarpare och konsekvenserna av bristande efterlevnad kan bli kännbara.
Vad är NIS2 och vem berörs?
NIS2 (Network and Information Security Directive 2) är EU:s reviderade direktiv för cybersäkerhet och ersätter det ursprungliga NIS-direktivet från 2016. Den svenska implementeringen genomförs via lagen om cybersäkerhet och Säkerhetspolisen samt MSB (Myndigheten för samhällsskydd och beredskap) har centrala roller i tillsynen.
Direktivet utökar antalet sektorer som omfattas och sänker trösklarna för vilka organisationer som är skyldiga att följa kraven. Det innebär att medelstora och stora företag inom sektorer som energi, dricksvattenförsörjning, digital infrastruktur, hälso- och sjukvård samt tillverkning av kritiska produkter nu faller under direktivet. Även leverantörskedjor är i fokus – en underleverantör till ett kritiskt system kan indirekt behöva uppfylla liknande krav.
Industriella styrsystem – en komplex säkerhetsutmaning
Industriella styrsystem, ofta kallade OT-system (Operational Technology) eller ICS (Industrial Control Systems), styr fysiska processer som kraftproduktion, vattenrening och tillverkningslinjer. Dessa system har historiskt sett designats med fokus på driftsäkerhet och tillgänglighet, inte cybersäkerhet.
Det skapar en grundläggande spänning: många OT-miljöer består av äldre system med lång livslängd, begränsad patchningsförmåga och protokoll som inte skapades med säkerhet i åtanke. Samtidigt har konvergensen mellan IT och OT ökat dramatiskt – fler system är uppkopplade mot företagsnätverk och internet, vilket ökar angreppsytan avsevärt.
Typiska säkerhetsbrister i OT-miljöer
- Äldre styrsystem med okrypterad kommunikation och inbyggda standardlösenord
- Begränsad nätverkssegmentering mellan IT- och OT-nät
- Avsaknad av loggning och övervakning i realtid
- Långa patchcykler eller omöjlighet att patcha utan produktionsstopp
- Otillräcklig hantering av tredjepartsåtkomst för underhållsleverantörer
Vad kräver NIS2 konkret?
NIS2 ställer krav på att organisationer inför ett systematiskt riskhanteringsarbete för cybersäkerhet. För verksamheter med industriella styrsystem innebär det bland annat:
Riskanalyser och säkerhetsåtgärder: Organisationer måste genomföra regelbundna riskbedömningar och implementera tekniska och organisatoriska åtgärder proportionella mot riskerna. Det handlar om nätverkssegmentering, åtkomstkontroll, kryptering och säkerhetskopiering.
Incidenthantering och rapportering: Allvarliga incidenter ska rapporteras till behörig myndighet inom 24 timmar (tidig varning) och en fullständig rapport ska lämnas inom 72 timmar. Det ställer krav på att ha fungerande detekterings- och rapporteringsprocesser på plats.
Leverantörskedjans säkerhet: Organisationer ansvarar för att granska säkerheten hos sina leverantörer och tjänsteleverantörer. För OT-miljöer innebär det att kontrakt med systemleverantörer och underhållsbolag behöver ses över.
Ledningsansvar: En av de mest märkbara förändringarna är att NIS2 tydliggör att ledningens ansvar inte kan delegeras bort. Styrelse och verkställande direktör kan hållas personligt ansvariga vid grov försummelse.
Hur bör verksamheter förbereda sig?
Utgångspunkten är att kartlägga vilka system och processer som faller under direktivet. Många organisationer saknar idag en samlad bild av sin OT-miljö, vilket är ett problem i sig. En strukturerad inventering av tillgångar, nätverkstopologi och befintliga säkerhetsåtgärder är ett naturligt första steg.
Internationella ramverk som IEC 62443, som är specifikt framtaget för industriella styrsystem, och NIST Cybersecurity Framework ger konkreta vägledningar för hur säkerhetsarbetet kan struktureras i linje med NIS2:s krav.
Det är också viktigt att inte behandla NIS2-efterlevnad som ett engångsprojekt. Cybersäkerhetsarbete i OT-miljöer kräver kontinuerlig förvaltning, regelbundna övningar och en organisation som kan hantera incidenter när de väl inträffar. För många verksamheter innebär det att bygga kompetens internt eller säkra tillgång till extern expertis – helst innan nästa incident är ett faktum.
