Seriline arbetar med identitetshantering eller Identity Access Management (IAM) som är den internationella termen. Det är att befinna sig i säkerhetsmarknadens absoluta epicentrum. Identiteten är kärnan i all säkerhet, vare sig det handlar om personers eller sakers identitet. En stulen eller falsk identitet är alltid en riskfaktor. Därför är IAM-företag och lösningar för identitetshantering alltid centrala i organisationers övergripande säkerhetssystem.
Det är sålunda naturligt att IAM-företag alltid berörs extra när det gäller nya skärpta tvingande säkerhetskrav som vanligen utfärdas som EU-direktiv för att sedan implementeras i nationell lagstiftning. NIS2 är ett bra exempel på det.
GDPR–uppvaknandet
För Freddie Parrman och hans bror Pierre var det dock en ny personskyddslag som blev det stora uppvaknandet när det gäller hur statliga och överstatliga initiativ kan bli en starkt påverkande kraft.
– Vi förvärvade Seriline 2016 och 2018 skulle EU-direktivet GDPR börja gälla som nationell lag. Vi fick lägga ner oerhört hårt utvecklingsarbete för att bli compliant. Vi jobbade med anonymisering, producerade white papers om hur man gör för att bygga stöd i alla applikationer och mycket annat, minns Pierre Parrman, CTO på Seriline.
– Arbetet vi lade ner då gjorde oss förberedda för NIS när den resan påbörjades, tillägger han.
Säkerhet blir en ledningsfråga
Syftet med EU-direktivet NIS2 är att skapa gemensamma policys kring riskanalyser och säkerhetskrav i EU-länderna för att öka motståndskraften mot angrepp på kritisk infrastruktur. Här inbegrips bland annat skärpta krav på policyer, bland annat rörande ID-hantering och passerkontroll.
– NIS och NIS2 är bara ett led i en process där lagstiftning skruvar upp säkerhetskraven på företag och myndigheter. Med hotande sanktionsavgifter för bristande efterlevnad kommer säkerheten inte bara landa hos säkerhetsavdelningen. Nu blir säkerhet en ledningsfråga och det är verkligen en gamechanger, säger Freddie Parrman.
NIS2 måste tas på allvar
NIS2 ska vara införlivad i svensk lagstiftning senast den 17 oktober 2024. Det är väldigt snart och Freddie Parrman är orolig över att säkerhetsbranschen vaknat så sent.
– Jag är lite besviken över att det är så många som inte tar NIS2 på allvar. Det finns systemleverantörer som helt saknar stöd för att hjälpa kunderna att uppfylla direktivet. Det oroar mig. Och klockan tickar.
För Freddie Parrman och Seriline är NIS2 fullaste allvar. Här satsas stora resurser på att alltid vara uppdaterade och hitta sätt att nå ut och hjälpa kunderna.
– För oss handlar det om överlevnad, NIS2 är inte bara ett regelverk. Vi måste vara compliant, annars är det game over. Så ser vi på det.
Delar kunskap
Freddie Parrman tycker att leverantörerna har en viktig roll att stötta sina kunder i deras mål att uppfylla kraven.
– För att klara det måste vi ha kunskap och vara villiga att dela den med kunder och andra partners. Vi måste hjälpa åt helt enkelt, säger Freddie Parrman.
Som ett led i denna kunskapsdelning är Seriline aktiva i olika projekt för att informera och utbilda branschen om NIS2 och dess innebörd. Det kan ske i seminarier eller webinars, ibland med andra säkerhetsleverantörer eller med organisationer så som Säkerhetsbranschen.
– Vi gör också egna webinarer på NIS2-temat, men vi gillar att jobba tillsammans med andra och vi tycker också det är bra att andra företag är ute och förmedlar sin kunskap. Som leverantörer har vi en skyldighet att hjälpa våra kunder med NIS2. Och då måste vi dela med oss av vår kunskap.
Slutkunden behöver stöd
Både Freddie och Pierre talar mycket om vikten av att inhämta och dela kunskap, inte minst med tanke på samhällsutvecklingen och behovet av lagar som ska skydda oss på olika sätt.
– Våra kunder förväntar sig att följa med i utvecklingen och att vår kunskap ska vara ett stöd i deras strävan att göra rätt. NIS2 är inte den sista grejen. Det kommer flera regelverk att vara compliant mot, säger Freddie Parrman.
– GDPR och NIS är modellen även för kommande lagkrav. Sanktionsavgifter kommer tillämpas vid bristande efterlevnad och det kommer åligga varje företag, kommun eller statlig myndighet att ta in den kunskap och de åtgärder som krävs för att hitta sin väg till efterlevnad. SKR tar exempelvis inget helhetsansvar för kommunerna. Därför har vi som leverantör en roll att fylla, nämligen att lyssna på kunden, stötta och dela den kompetens vi har, tillägger Pierre.
Freddie Parrman vill dock tydliggöra att Seriline inte vill påta sig någon juridiskt rådgivande roll.
– Att säga till kunden ”gör det här så blir du compliant”, är ingen bra idé. Det kan få väldigt dåliga konsekvenser, säger han.
Hur ska passersystemen säkras?
I NIS2 inbegrips skärpta krav på bland annat passerkontrollsystem. De ska ha krypterad kommunikation mellan kort och läsare samt mellan läsare och undercentral. Och kunden ska också veta hur kommunikationen i det proprietära passerkontrollsystemet hanteras. Så hur kan ett IAM-företag som Seriline vara behjälpliga här?
– Kommunikationen är ju den stora utmaningen. Vi kan lösa vissa delar i vår integrationsmotor Serix IAM, men vi är långt ifrån att kunna leverera alla svaren till kunden, säger Pierre Parrman.
Freddie Parrman instämmer:
– Nej, vårt IAM-system gör inte kunden compliant. Därför måste vi lyfta frågan och tala om för kunden vad man bör ta hänsyn till och vilka frågor som bör ställas. Vissa delar kan vi säkert hjälpa till med, exempelvis när det gäller våra Cidron-läsare. Där är det bara att slå på kryptering, OSDP och transparant mode. Det finns där redan.
Passersystem byts stegvis
Problemet för många slutkunder är att de egentligen skulle behöva byta ut sitt proprietära passersystem för att uppfylla NIS2-regelverket. Men eftersom det är förknippat med enorma kostnader väljer många att ta det stegvis.
– Vi kan säkra det gamla passersystemet genom att byta ut delar i det. Från vår IAM kan vi exempelvis se till att korten eller taggarna krypteras och att kunden på så sätt med tiden blir mer compliant, säger Pierre Parrman.
Skiljer agnarna från vetet
Freddie och Pierre Parrman tror att GDPR, NIS och NIS2 är en del ”det nya vanliga”. De räknar med att vi kommer att uppleva införande fler regelverk och lagar som kommer framtvinga nya ständigt pågående processer för att nå efterlevnad.
–Visst, det kan vara jobbigt, men det är utvecklande också. Vi leverantörerna tvingas steppa upp och jag tror att de höjda kraven på kunskap, engagemang och kvalitet kommer bana vägen för att både konkurrensen och lösningarna blir bättre, menar Freddie Parrman.
– På så sätt tror jag att NIS2 är en faktor som delvis kommer skilja agnarna från vetet. Lagen kommer definiera vilka aktörer som kan fortsätta leverera utrustning till kritisk infrastruktur.
Driver upp kunskapsnivån
Det är inte bara produkt- och systemleverantörerna som tvingas vara på tå. De senaste årens lagstiftning, så som GDPR, säkerhetsskyddslagen och NIS2 samt ett allmänt ökat fokus på säkerhet i näringsliv, stat och kommun har generellt medverkat till att kunskapsnivån i branschen har ökat, enligt Pierre Parrman.
– Vi har märkt att kunskapsnivån i slutkundsledets säkerhetsavdelningar, även när det gäller tekniken. har ökat de senaste åren. Exempelvis är säkerhetscheferna ofta väldigt pålästa, vilket i sin tur ställer högre krav på oss i leverantörsledet, säger Pierre Parrman.
– Vi ser också en förändring i konsultledet där kunskapskraven höjs och där det blir alltmer specialisering inom olika områden. Just nu har förstås de duktiga konsulterna som jobbar med NIS2 fullt upp.
Nato ställer nya krav
En annan faktor som ställer nya krav på säkerhetsbranschens alla led är de åtgärder som följer med Sveriges medlemskap i Nato.
– Vi har ju många kunder som berörs av detta och vi märker av en boom redan. Här finns nya krav att leva upp till när det gäller exempelvis besökshanteringssystem. Med detta och NIS2 ’on top’ så finns det mycket att göra för oss alla, säger Freddie Parrman avslutningsvis.