I en tid då cyberhot och digitala risker ökar i en alarmerande takt är det viktigt att företag och organisationer vidtar åtgärder för att skydda sin digitala infrastruktur. Supply chain-attacker, där angripare komprometterar en tredjepartsleverantör för att få tillgång till större företag, myndigheter eller andra samhällsviktiga institutioner, har blivit vanligare och förväntas öka ytterligare i omfattning.
Leverantörer och företag som arbetar mot större organisationer och myndigheter är ofta måltavla i denna typ av attacker. Genom att infiltrera en svagare länk i kedjan kan angripare få tillgång till mer värdefulla system och data.
Framtidens cyberattacker förväntas bli mer sofistikerade och riktas mot allt bredare mål, från mindre företag i leverantörskedjor till kritisk infrastruktur och IoT-enheter. Ransomware och statssponsrade attacker fortsätter att utgöra stora hot, samtidigt som nya teknologier som AI och maskininlärning används för att öka attackernas effektivitet.
Alla typer av företag och organisationer måste förbereda sig för en allt mer komplex och omfattande hotbild, där förebyggande säkerhetsåtgärder och snabb incidenthantering blir avgörande för att minska riskerna.
För små och medelstora företag, som kanske inte har resurser att implementera komplexa säkerhetslösningar som ISO 27001, erbjuder Cybersäkerhet BAS en grundläggande certifiering med konkreta åtgärder för att stärka skyddet av informationstillgångar.
Cybersäkerhet BAS – Nordens första certifiering för cybersäkerhet
SSF 1101 Cybersäkerhet BAS togs fram 2018 av Stöldskyddsföreningen tillsammans med MSB. I arbetet deltog också Polisen, Svensk Försäkring, Svensk Handel, SBSC med flera.
Bakgrunden till normen var att man sett ett behov att öka cybersäkerheten hos små och medelstora företag med hjälp av konkreta säkerhetsåtgärder. Normen anger de krav som ställs på en grundläggande nivå av cybersäkerhet för små och medelstora företag och organisationer. Certifieringen enligt normen är den första i sitt slag i Norden och syftar till att höja samhällets samlade förmåga att skydda sig mot cyberattacker.
Några av de största skillnaderna mellan Cybersäkerhet BAS och ISO 27001 är att den senare omfattar krav på ett implementerat ledningssystem, processer för riskhantering, kontinuitetsplanering och rutiner för incidenthantering.
”Cybersäkerhet BAS höjer er förmåga att stå emot cyberhot och ökar förtroendet för er organisation bland kunder, partners och kravställare.”
Offentlig upphandling och cybersäkerhet
Myndigheter har börjat ställa allt högre krav på cybersäkerhet i offentlig upphandling. Det innebär att företag som levererar it-system, tjänster eller produkter till offentliga sektorn kan behöva certifiera sin cybersäkerhet för att bli valda som leverantörer. Detta förväntas öka i framtiden, både nationellt och inom EU, även för företag som levererar andra tjänster och produkter. De flesta verksamheter är idag, oavsett bransch, beroende av it-system och digitala lösningar på ett eller annat sätt.
Många kunder, särskilt om de tillhör offentlig sektor eller kritisk infrastruktur, har strikta krav på cybersäkerhet. Om ert system är integrerade i deras miljöer, förväntar de sig att ni också uppfyller höga cybersäkerhetsstandarder. Certifiering kan därför bli en förutsättning för att vinna upphandlingar och behålla kunder.
Svensk nationell cybersäkerhetsstrategi
Den nationella cybersäkerhetsstrategin ska stärka Sveriges motståndskraft mot cyberhot, med fokus på att skydda kritisk infrastruktur, statliga myndigheter och privat sektor. Detta innebär att fler sektorer, utöver de som omfattas av EU:s regler, kan få krav på certifiering och säkerhetshantering.
MSB spelar en central roll i att samordna Sveriges cybersäkerhet och implementera EU:s NIS2-direktiv. MSB, som varit med att ta fram Cybersäkerhet Bas, kan ställa krav på certifiering för vissa sektorer och tjänsteleverantörer, inklusive säkerhet för myndigheter och företag inom kritiska områden som energi, sjukvård och transport.
Många anläggarfirmor och besiktningsfirmor berörs indirekt av NIS2-direktivet
EU har redan infört flera direktiv och förordningar som stärker cybersäkerheten, såsom NIS2-direktivet mot risker kopplade till cybersäkerhet eller hot från cyberattacker, CER-direktivet som ska säkerställa motståndskraften hos samhällsviktig verksamhet och Cybersecurity Act genom att skapa ramar för ett certifieringssystem på EU-nivå, där fler produkter, tjänster och processer förväntas behöva certifiering för att bevisa sin säkerhetsnivå.
NIS2 är en uppdatering av NIS-direktivet och utvidgar tillämpningsområdet till flera sektorer, inklusive offentlig förvaltning och ska införas 2024. NIS2-direktivet omfattar olika sektorer och branscher som anses vara av betydelse för samhällets kritiska infrastruktur och digitala nätverks- och informationstjänster. Men som leverantör till dessa myndigheter, organisationer och företag berörs många av SBSC:s kunder direkt eller indirekt av NIS2. Dessutom förväntas fler direktiv och regelverk med krav på certifiering träda i kraft.
Att certifiera sin verksamhet skapar en bra grund för att hantera cybersäkerhet och uppfylla krav som ställs både i NIS2 och CER-direktivet.
Förväntan på ökade krav på certifiering av cybersäkerhet
Framtiden tyder på att EU kommer att ställa allt högre krav på certifiering av cybersäkerhet, med målet att stärka det gemensamma skyddet mot cyberhot. Utvecklingen i Sverige går åt samma håll, med nationella initiativ och sektorspecifika regleringar som kan komma ställa krav på certifieringar inom it- och informationssäkerhet. Svenska företag och myndigheter behöver anpassa sig till både nationella och EU-regelverk för att skydda sig mot de växande cyberhoten.
Certifieringskrav kommer sannolikt att gälla även för små och medelstora företag som är en del av större leverantörskedjor. Detta förväntas bidra till att minska sårbarheter och göra hela leveranskedjan säkrare.
Högre krav på cyberhygien i leverantörskedjan
Även företag och organisationer utanför kritiska infrastruktursektorer, kan börja möta ökade krav från sina kunder och leverantörer när det gäller cybersäkerhetscertifiering. Detta gäller särskilt inom leveranskedjor och samarbetsprojekt, där ordning och reda i leverantörsleden och cyberhygien kan bli en förutsättning för att få ingå affärsavtal.
