De skärpta reglerna inom cybersäkerhet förändrar nu hela säkerhetsbranschen. Nya EU-direktiv och nationella krav påverkar allt från tillverkare och leverantörer till ledningsnivåer och kunder. Det menade i alla fall de fyra branschrepresentanter som under ledning av moderatorn Markus Lahtinen deltog i en paneldiskussion om hur branschen ska klara de skärpta cybersäkerhetskraven.

EU-lagar skapar ny spelplan

Panelen beskrev ett snabbt växande regelverkslandskap där både Cyber Resilience Act (CRA) och NIS2-direktivet ställer nya krav på både teknik och organisation.

Uppkopplade produkter och programvara ska vara cybersäkrade under hela sin livscykel och klara CRA-kraven om de ska få säljas på marknaden. Ansvaret för efterlevnad faller på produktleverantörerna, det vill säga tillverkare, importörer och distributörer.

NIS2-direktivet handlar om att säkra organisationer vars verksamhet är kopplad till kritisk infrastruktur och annan samhällsviktig funktion. Här innefattas exempelvis krav på riskhantering och incidentrapportering inom 24 timmar samt krav på kontinuitet, övervakning och säkerhetsutbildning. Ansvaret faller på slutkunden.

– Det handlar om direktiv som blivit lag och som formellt bekräftar det vi redan borde göra, men nu måste visa att vi gör på rätt sätt, sa Christian Lund, CIO för Seriline Group. Han beskrev CRA som en slags produktmärkning för cybersäkerhet:

– Det är en certifiering som ska säkra produkter under hela livscykeln. Skillnaden är att det inte längre är frivilligt, utan ett krav.

Stor omställning

De nya lagarna omfattar både mjukvara, hårdvara och hela leveranskedjan.

– Det här är en mycket större omställning än många inser. Det räcker inte längre med att skydda sig själv. Man måste kunna bevisa att hela kedjan är säker, särskilt för verksamheter inom kritisk infrastruktur, betonade Robert Jansson, försäljningsdirektör på Stid i Norden.

Tufft ansvar för företagsledare

En central förändring gäller ansvaret för företagsledningar och styrelser, enligt Anders Karlsson, PMM på Keenfinity.

– I dagsläget vilar ett ansvar på oss alla i branschen, men framför allt på dem som leder bolag, kommenterade han.

Vem vill ta ledningsansvar?

Moderatorn Markus Lahtinen lyfte fram en intressant aspekt på det tunga ansvar som vilar på företagsledningar med tanke på de sanktionsmöjligheter som kan tillämpas vid bristande efterlevnad av NIS2- och CRA-kraven.

– Det är substantiella verktyg som kan användas. Det kanske till och med blir svårt att hitta personer som vill ta ledningsansvar när de förstår omfattningen, sa han.

Samarbete nyckeln framåt

Samtidigt var paneldeltagarna i stort eniga om att ansvaret också innebär en möjlighet till professionalisering, för både leverantörer och kunder.

Flera talare betonade dock behovet av ökad samverkan mellan stora och små aktörer.

– Den lille kan lätt bli klämd, men sitter ofta på den innovation som den store behöver. Vi måste hjälpa varandra och skapa forum där vi delar kunskap och erfarenheter, inflikade Krister Tånneryd, COO och CIO på Addsecure.

Gemensamma standarder

I paneldiskussionen lyftes också behovet av att utveckla gemensamma standarder för avtal, tydlighet, certifiering och informationsdelning.

– Det handlar inte om att vänta på lagstiftare, utan om att själva visa att vi tar ansvar, menade Krister Tånneryd.

Sverige halkar efter

Robert Jansson tog initiativ till att sätta Sveriges sätt att hantera cybersäkerhetsfrågor i såväl ett europeiskt som ett nordiskt perspektiv. Han menade att vi ligger efter flera europeiska länder.

– I Sverige har vi velat göra allt själva. Vi bygger båtar och bilar, och det gäller i viss mån för säkerhet också. I Norge har man i stället köpt in färdiga lösningar och nått högre säkerhet snabbare, hävdade han.

Robert Jansson lyfte även fram Frankrike som ett tydligt föredöme.

– De satte krav väldigt tidigt på att säkra upp systemen. Det vi ser i EU nu är egentligen en fortsättning på det.

Invaggas i falsk trygghet

Panelen var enig i påståendet att vi i Sverige präglas i alltför hög grad av en kultur där enkelhet ofta går före säkerhet.

– Vi förutsätter att allt är uppkopplat och säkert, men det är en falsk trygghet, kommenterade Anders Karlsson.

Panelen var dock överens om att det även finns ljuspunkter – exempelvis att flera företag har börjat införa säkra digitala identiteter och mer strukturerad incidenthantering, vilket indikerar att utvecklingen ändå går framåt.

Kostnader och resursbrist bromsar

Panelen betonade också att det måste ske förändringar i synen på säkerhet, inte minst bland dem som arbetar med upphandlingar och värderar anbud.

– Vi har en kultur där den billigaste leverantören vinner upphandlingarna. Det är svårt att få ihop det när lägsta pris och cybersäkerhet ska samexistera, lyfte Krister som en tydlig utmaning.

Branschen pekade även på brist på kompetens som ett växande hinder.

– Om man inte redan nu har börjat se över sina system och processer så har man gjort ett misstag. Vi kommer behöva många fler utbildade specialister de närmaste åren, konstaterade Anders Karlsson.

Rött kort – men växande optimism

Moderatorn bad panelen symboliskt sätta färg på branschens beredskap: grönt, gult eller rött kort.

– Det lutar nog åt rött, erkände Christian Lund.

– Men det är en lärprocess. Vi ligger efter, men vi kommer att ta igen det, tillade han.

Andra var något mer positiva.

– Rött i dag. Men det kommer att bli gult och sedan grönt. Vi har mycket att lära, men vi rör oss åt rätt håll, sa Robert Jansson, som efterlyste ett kompetenslyft i konsultledet som arbetar med att föreskriva fysiska säkerhetssystem.

Några ljuspunkter som i övrigt framfördes av panelen var att medvetenheten kring cybersäkerhet ökar snabbt och att allt fler slutkunder ställer krav, samtidigt som fler tillverkare arbetar aktivt med certifieringar och samarbeten. Att allt fler organisationer ser cybersäkerhet som en del av affärsstrategin snarare än ett teknikärende är också en positiv faktor.

Positiva effekter på sikt

Trots osäkerhet om resurser, tidsplaner och om den nationella implementeringen och tillämpningen av EU-regelverken i den svenska lagstiftningen var panelen enig om att de på sikt kommer att höja den generella säkerhetsnivån.

– Vi kommer att se bättre skydd, färre attacker och lägre sårbarhet om två eller tre år. När företagen inser vad det kostar i sanktionsavgifter att inte uppfylla kraven, då blir det på riktigt, sammanfattade Robert Jansson.

Moderatorns slutsats

Moderatorn Markus Lahtinen sammanfattade diskussionen med att branschens mognadsnivå fortfarande är ojämn – men riktningen tydlig.

– Panelen har visat hur snabbt de nya regelverken påverkar hela kedjan, från tillverkare till slutkund. Det handlar om ansvar, samarbete och kompetens, men också om en vilja att växa med uppgiften, konkluderade han.