Cyberattacker utgör ett växande hot mot vitala samhällsfunktioner, såväl som små och stora företag samt privatpersoner. Vi lever i en alltmer digitaliserad värld, vilket innebär att känsliga data blir allt mer tillgänglig. Statliga organisationer, enskilda verksamheter och privatpersoner behöver därför lägga ytterligare resurser på att säkra sin data med målet att upprätthålla ett fungerande samhälle. Det uppdaterade direktivet NIS2 ställer krav på säkerheten kopplad till nätverk och informationssystem som innehåller känslig information, allt för att minimera risken för skadliga cyberattacker.
Uppdaterat EU-direktiv ska minimera riskerna för cyberattacker
Kanske har du själv tillgång till flera molnlösningar, både privat och i din yrkesroll? Då kan du börja fundera på frågor som, ”Hur länge kommer jag att kunna utföra mitt jobb om till exempel Microsoft 365 ligger nere?” När du börjar tänka i dessa banor får du snabbt en känsla av hur sårbar situationen skulle kunna vara. Men det finns ljus i tunneln. Ett sådant är direktivet som fokuserar på informationssäkerhet inom EU. Det har nu uppdaterats och går under benämningen NIS2 (EU 2022/2555). Kortfattat ställer NIS-direktivet krav på säkerheten i verksamheters nätverk och informationssystem.
Den uppdaterade versionen medför stora förändringar eftersom det nu omfattar fler samhällsviktiga funktioner och bolag (entiteter och aktörer). Men uppdateringen syftar också till en mer harmoniserad lagstiftning genom hela EU, med ökad tydlighet och mindre utrymme för nationella tolkningar. Det ursprungliga direktivet har redan varit aktivt under ett par år, vilket innebär att all information inte nödvändigtvis är helt ny för alla. Men tidigare omfattade kraven gällande informationssäkerhet enbart större aktörer som hälso- och sjukvården, infrastruktur för vattenförsörjning, energisektorn med mera och det fanns också en viss öppning för nationella tolkningar inom många av besluten.
Så påverkas verksamheten inom Life Science
Vi ser nu att våra kunder, partners och verksamheter, som vi redan samarbetar med idag inom Life Science, både på farmasidan och inom den medicintekniska tillverkningen (inklusive In Vitro Diagnostik), kan komma att påverkas på något sätt av direktivet. Det riktar sig nu specifikt till leverantörer i kontakt med vårdgivare (till exempel farmabolag) och tillverkare av medicinteknisk utrustning. Det blir nu därför viktigt att definiera om ditt företag berörs av NIS2 och hur verksamheten påverkas. Värt att notera dock är att det i grund och botten inte handlar om att ett nytt direktiv har kommit på plats utan vad du behöver uppdatera din verksamhetsstruktur med för att i största möjliga mån ha en säker verksamhet och att du känner dig väl förberedd på hur ni ska agera på de digitala hot som förr eller senare kommer att uppstå.
En av de delar du bör se över i ett tidigt skede är hur verksamheten arbetar med leverantörsbedömningar. Leverantörer av verksamhetssystem blir i många fall en förlängning rakt in i den egna verksamheten och det gäller att man har förståelse för hur leverantören arbetar och vilken nivå på säkerhetstänk leverantören har för att själv kunna bedöma risken för påverkan på den egna verksamheten. I den här artikeln syftar vi till hela verksamheten och inte enbart till produktutveckling eller tillverkningsprocesser, vilket man kanske annars är van att främst fokusera på.
”Att hitta lösningar och praktiska möjligheter, utifrån ett företags unika förutsättningar, är viktigt för att kunna säkerställa kvalitet och säkerhet på högsta möjliga nivå. Just kvalitets- och säkerhetsarbete behöver utformas på ett sådant sätt att företaget har något att agera utifrån och som faktiskt genererar säkrare verksamheter och i förlängningen säkrare produkter. Säkerhetstänket och riskbedömningen ska genomsyra hela organisationen och alla arbetsprocesser.” – Beatrice Orback, Team Leader & Consultant, Health Care Plantvision Compliance.
Behöver du hjälp och vägledning genom de nya kraven och vilken väg just ditt företag behöver ta framåt? Kontakta en av våra experter och få kontroll över informationssäkerheten redan idag.
*Ett direktiv sätter upp mål som medlemsländerna ska nå, men de får själva bestämma hur det ska gå till. Innan ett direktiv kan träda i kraft på nationell nivå måste medlemsstaterna anta en lag som införlivar det. Denna nationella åtgärd måste uppfylla de mål som anges i direktivet. Nationella myndigheter ska informera Europeiska kommissionen om dessa åtgärder. Källa: https://eur-lex.europa.eu/SV/legal-content/summary/european-union-directives.html
**På engelska står benämningen NIS för ”The Directive on measures for a high common level of cybersecurity across the Union” och på svenska heter direktivet ”Åtgärder för en hög gemensam nivå på säkerhet i nätverks- och informationssystem i hela unionen”. Direktivet EU2022/2555 är aktivt i unionen och ska vara fullt ut implementerat i alla medlemsstater den 18 oktober 2024.