Svenska samhällsfunktioner inte redo för NIS2-direktivet
NIS2-direktivet är EU:s nya riktlinje för att stärka informations- och cybersäkerheten i samhällsviktiga verksamheter. Ebba Rehnstam och Wera Winquists examensarbete visar att Sverige har långt kvar till att uppfylla kraven.
När studenterna Ebba Rehnstam och Wera Winquist från Institutionen för data- och systemvetenskap valde ämne för sin uppsats på Kandidatprogrammet i affärssystem och tjänstedesign, föll valet på ett högaktuellt område: Sveriges förberedelser inför EU:s nya NIS2-direktiv.
– Under vår praktik kom vi i kontakt med informationssäkerhet inom flera områden och direktivet diskuterades mycket. Vi insåg att det är ett område som är högst relevant och viktigt men också komplext. Eftersom NIS2 berör just samhällsviktiga verksamheter, såg vi ett behov att undersöka vilken kompetens och beredskap som finns, säger Ebba Rehnstam.

Ett omfattande arbete bakom studien
Med frågeställningen "Hur förberedda är Sveriges samhällsviktiga verksamheter inför det kommande NIS2-direktivet?" intervjuade de experter från till exempel MSB, Energimyndigheten, Transportstyrelsen och konsulter inom informationssäkerhet.
Resultaten pekar på flera utmaningar.
– Sammanfattningsvis är förberedelserna inte tillräckliga och kompetensnivån generellt för låg. Även om det finns variationer beroende på sektor och organisationens storlek, är vissa brister återkommande. Bland dem finns krav på incidenthantering, riskanalyser och hantering av tredjepartsleverantörer. Vi ser också att kompetensbehovet är brett, med roller som tekniska specialister, juridiska experter och projektledare som viktiga pusselbitar, säger Wera Winquists.
Förhoppningen är såklart att företag och myndigheter ska hålla en hög nivå vad gäller säkerheten
En av de mest överraskande insikterna var hur låg den nuvarande kompetensen är.
– På ett sätt är det väl inte en nyhet att kompetensen och nivån är generellt låg när informations- och cybersäkerhetsområdet med dess ökade hot utvecklas väldigt snabbt i takt med den digitala utvecklingen. Det är en utmaning för många att inte bara hänga med, men att också ligga i framkant. Med det sagt är det ju oroväckande hur låg kompetensen faktiskt är. Förhoppningen är såklart att företag och myndigheter ska hålla en hög nivå vad gäller säkerheten, säger Ebba Rehnstam.
Studien visar också på vägar framåt.
– För att möta NIS2-kraven behöver organisationer integrera säkerhetsarbetet i sin övergripande företagsstrategi där informations- och cybersäkerhetsarbetet samspelar med den generella företagsstrategin, för att få en struktur som ger möjligheter för kontinuerlig förbättring, säger Ebba Rehnstam.
– Samtliga respondenter var överens om det krävs ökade resurser och ett tydligare ansvar från ledningsnivå för att skapa en bra säkerhetskultur, säger Wera Winquist.
Presentation på NordSec-konferensen
Studien presenterades på NordSec-konferensen i Karlstad, en nordisk mötesplats för forskare och experter inom IT-säkerhet.
– Det var väldigt spännande samtidigt som det var lite nervöst. Det kändes som en stor möjlighet och erfarenhet, både genom att få utmana sig själv, få en inblick i den akademiska världen och kontakt med forskare i ett internationellt sammanhang. Det var också lärorikt att få ta del av andras forskningsresultat, säger Ebba Rehnstam.
Många lyfte att våra resultat är något som fler företag och organisationer borde få ta del av
Responsen var mycket positiv och ledde till diskussioner om direktivets relevans och de åtgärder som behövs.
– Många lyfte att våra resultat är något som fler företag och organisationer borde få ta del av, säger Wera Winquist.
Har ni planer på att fortsätta forska och doktorera?
– I dagsläget känner vi att vi vill fokusera på att stärka vår professionella roll inom informationssäkerhet och få mer erfarenhet inom området på arbetsmarknaden, men det är inte omöjligt att det sker i framtiden, avslutar Wera Winquist och Ebba Rehnstam.
Mer information
NIS2-direktivet
Network and Information Security 2 Direktivet, NIS2, är en uppdaterad EU-direktiv som stärker cybersäkerheten i viktiga sektorer, som energi, transport, sjukvård och finans. Det ställer högre krav på företag och organisationer att skydda sina IT-system, hantera risker och rapportera säkerhetsincidenter. Målet är att göra EU:s digitala infrastruktur mer motståndskraftig mot cyberhot.
Examensarbetet i sin helhet i DIVA
Hur förberedda är Sveriges samhällsviktiga verksamheter inför kommande regulatoriska informationssäkerhetskrav från EU?
Handledare
Simon Hacks
Konferensen i Karlstad
NordSec 2024
Utbildning på Institutionen för data- och systemvetenskap, DSV
Kandidatprogrammet i affärssystem och tjänstedesign 180 hp
Alla kandidatprogram på DSV
Text: Carina Bergholm
Senast uppdaterad: 21 januari 2025
Sidansvarig: Institutionen för data- och systemvetenskap, DSV