NIS2 påverkar fastighetsbolag – högre krav på cybersäkerhet

Anders Jonson, cybersäkerhetsexpert, här på Enisas Cyberkonferens.

Förra veckan beslutade EU-kommissionen att införa det nya NIS2-direktivet. Syftet med direktivet är att öka cybersäkerheten och skapa en samsyn mellan EU:s medlemsländer. Men vad betyder egentligen direktivet för fastighetsbolagen?

NIS2-direktivet omfattar leverantörer av samhällskritiska tjänster inom både offentlig och privat sektor. För större fastighetsbolag betyder direktivet att man behöver skaffa sig en ännu tydligare uppfattning om hyresgästernas verksamheter.

Tekniska aspekter som fiberledningar och 5G-uppkoppling kan eventuellt föra med sig en högre kravbild. Det säger Anders Jonson, cybersäkerhetsexpert och medlem i ENISA:s arbetsgrupp som tar fram certifieringsramverk för det nya direktivet.

– Man måste exempelvis kunna garantera fortsatt drift av digital infrastruktur. Det skulle till exempel kunna handla om en fiberledningen som grävs av eller om mobilanslutningen bryts i fastigheten, säger han.

Påverkar fler tjänster än tidigare
Direktivet omfattar sedan tidigare verksamheter som bank och hälso- och sjukvårdsverksamhet – men nu ingår även digital infrastruktur och offentlig verksamhet.

– En fastighetsägare kan i det här fallet bli underleverantör åt en samhällskritisk aktör. Till exempel någon inom vård- och omsorg, och då måste man kunna visa på att man har gjort tillräckligt för att garantera cybersäkerheten, säger Anders Jonson.

Direktivet omfattar hela leverantörskedjan
Det nya direktivet omfattar till exempel molntjänster, bredbandsuppkopplingar och mobil uppkoppling. Man behöver därför säkerställa att molntjänster som man själv levererar lever upp till den nya kravbilden, men eftersom direktivet omfattar hela leverantörskedjan behöver man också kontrollera sina underleverantörer.

– Har man hyresgäster som platsar in som kritiska måste man nog relativt omgående titta på om man tillhandahåller några digitala tjänster. Men man måste också kolla vilka typer av underleverantörer man är beroende av, säger Anders Jonson.

– Det är här det blir intressant. Har du en elektronisk apparatur som en person med vård i hemmet är direkt beroende av, en apparatur som till viss del använder fastighetsägarens teknik eller dess underleverantörers teknik, då blir man ju direkt involverad.

Skärpta regler för bättre efterlevnad
Likt GDPR kommer NIS2-direktivet att medföra högre vitesbelopp. Högsta ledningen, exempelvis bolagsstyrelsen eller vd:n, kan dessutom bli personligt ansvariga vid bristfällig hantering.

– Det gamla direktivet gav ingen riktig effekt. Man har lärt sig av GDPR som har fått en bra effekt. Därför använder man sig av samma metod nu, säger Anders Jonson.

Tillsynsansvaret för efterlevnaden ligger hos en rad olika myndigheter, bland annat MSB, IVO och PTS.

– När man nu skärper och utökar NIS2 får vi se hur man hanterar det, men det blir en intressant utmaning. Vad gäller tillsynsansvaret för säkerhetscertifieringen är det den nya myndigheten Inspektionen för cybersäkerhetscertifiering, ICC, som är ansvarig, säger Anders Jonson.

Europaparlamentet antog direktivet den 10 november 2022, och nu återstår ett slutgiltigt godkännande av EU-rådet. Efter det har varje medlemsland 21 månader på sig att implementera direktivet i sina lagböcker.

Text: Jakob Gromer
redaktionen@forvaltarforum.se

NIS2

NIS2-direktivet (The Directive on security of network and information systems) är ett EU-direktiv som ska stärka EU-medlemsländernas cybersäkerhet. Lagstiftningen av direktivet ska vara på plats senast 2024.

För att omfattas av direktivet krävs det att man har en årsomsättning eller balansomslutning som överskrider 10 miljoner euro, närmare 108 Mkr, något som gäller även för fastighetsägaren.

Inköpsportal - tipsa oss

Inköpsportal - ansökan
Logotyp, minst 200 pixlar bred *
Maximal filstorlek: 209.72 MB
Bild, minst 540 pixlar bred *
Maximal filstorlek: 209.72 MB
Kontaktspersonsbild, minst 200 pixlar bred *
Maximal filstorlek: 209.72 MB

Inköpsportal - tipsa en kollega