Cybersäkerhet har gått från att vara en teknisk sidofråga till att bli en central del av samhällets infrastruktur. Inom vård och omsorg är det numera vardag med larm om cyberattacker, driftstörningar och avbrott i leveranskedjor. Under vårt föredrag på Vitalis 2025 diskuterade vi hur det nya EU-direktivet NIS 2 påverkar sektorn och varför det kan ses som en strategisk möjlighet snarare än ännu ett administrativt krav.
Vad är NIS 2?
NIS står för Network and Information Systems, och NIS 2 är den uppdaterade versionen av det direktiv som togs fram redan 2013. Syftet är tydligt: att stärka cybersäkerheten inom samhällsviktig verksamhet, däribland vård och omsorg. Med NIS 2 inkluderas nu fler sektorer och aktörer och säkerhetskraven skärps avsevärt.
För många innebär det ett helt nytt ansvar. Ledningsgrupper får nu en formell skyldighet att förstå och driva cybersäkerhetsfrågorna. Det handlar inte längre om att "IT fixar det där", utan om en helorganisatorisk omställning där roller och ansvar måste bli tydliga och spårbara.
Hotbilden är inte teoretisk
Vi ser hur sårbarheter snabbt kan få samhällspåverkan: IT-haverier i vårdsystem, omfattande strömavbrott i Europa och attacker mot sjukhus visar hur känsliga våra infrastrukturer är. Det räcker inte att säkra de egna systemen, man måste förstå hela sin leveranskedja.
Just detta är något NIS 2 betonar tillsammans med CER, att säkerheten ska vara riskbaserad och helhetsorienterad, alltså att allriskperspektivet ska tillämpas. Det räcker alltså inte att ha en bra brandvägg, du behöver en strategi som omfattar allt från IT till fysiska transporter och personalrutiner.
Från regulatorisk lasagne till systematik
Vi skämtade under föredraget om den "regulatoriska lasagnen", lag på lag på lag som organisationer måste hantera. GDPR, MDR, NIS 2, CER… det är lätt att bli överväldigad. Men det finns en väg ut ur regelverksdjungeln, att jobba med ett metaramverk.
Ett metaramverk fungerar som en slags översättare. Ett verktyg som gör det möjligt att kartlägga vilka krav som gäller, hur de hänger ihop, och hur du på ett praktiskt sätt kan implementera dem. I stället för att behandla varje regelverk separat, bygger man ett samlat ramverk för säkerhetsarbetet. Då mäter man en gång men följer flera regelverk
Viktiga lärdomar och framgångsfaktorer
Det finns flera nyckelfaktorer för att lyckas med ett långsiktigt, hållbart säkerhetsarbete:
Säkerhet är en ledningsfråga - och nu även enligt lag. Ledningen måste vara engagerad och utbildad.
Alla ska med - säkerhetsarbetet måste integreras i hela organisationen. Det är inte en IT-fråga.
Struktur ger hållbarhet - utan tydliga processer och roller riskerar initiativen att bli papperstigrar.
Jobba riskbaserat och systematiskt - det är vad revisorer och tillsynsmyndigheter tittar på.
Var transparent med risker och brister - att dölja dem är farligare än att erkänna dem.
Dokumentation är avgörande - både för revision, utveckling och intern trygghet.
Är det enkelt?
Nej, men det är görbart. Det är komplext men inte omöjligt. Med rätt verktyg, rätt mindset och ett strukturerat arbetssätt kan organisationer inte bara uppnå compliance, utan faktiskt höja sin säkerhetsnivå och därmed säkerheten för sina medarbetare och patienter. Och det är det vi alla vill.
