Det är ett direktiv som EU har antagit och som syftar till att säkra kritisk infrastruktur inom den Europeiska unionen – en tydlig signal från EU att cybersäkerhet behöver tas på största allvar.
Eftersom Nis2 innebär tydliga regleringar och förhållningssätt är det något som kommer att påverka alla aktörer som är verksamma i unionen och som gör affärer här, och därmed få stor effekt på hur vi gör inköp inom cybersäkerhet. Tack vare Nis2 blir det också enklare för it-ansvariga att prata med ledningen och få den att förstå vad som behöver kravställas i upphandlingen, givet att alla, både anbudsgivare och anbudslämnare, framöver behöver förhålla sig till samma direktiv.
Direktivet träder i kraft i en tid där vi med alltmer frekventa mellanrum möts av rubriker kring nya storskaliga attacker. Som alltid under oroliga tider finns risken att fokus hamnar på kortsiktiga lösningar för att hålla näsan över vattenytan medan de mer långsiktiga strategierna skjuts på framtiden.
Men kortsiktiga lösningar kallas just så av en anledning och i det här fallet blir det särskilt tydligt. Det finns stora fördelar i att vara tidigt ute med att anpassa säkerhetsarbetet utefter NIS2-direktivet, både ur ett konkurrensperspektiv och genom att organisationen får tillräckligt med tid att bygga upp såväl rätt team som rätt rutiner för rapportering och incidenthantering.
Upphandlingsprocessen spelar här en central roll genom att skapa förutsättningar för att säkra kvalitativa och långsiktiga lösningar. NIS2-direktivet innebär nämligen inte bara att krav på säkerhetshöjande åtgärder ska uppfyllas utan också att de upphandlingsansvariga är väl insatta i direktivets innehåll och mål, för att kunna formulera korrekta krav som leverantörer behöver möta.
Ur den aspekten är det viktigt att bibehålla och uppdatera befintlig kompetens för att dels möta kraven, dels för att säkra organisationen inför nya hotbilder. Kompetensbristen i branschen, speciellt vad det gäller cybersäkerhet, är välkänd – vilket inte blir bättre av att besparingskrav och nya prioriteringar inom offentlig sektor ständigt riskerar att nalla på it-budgeten.
Återigen, det är fullt förståeligt att man under tider där det handlar om att jaga kronor och ören kan känna sig tvingad att välja bort det mer långsiktiga perspektivet.
Därför behöver vi alla hjälpas åt och här finns mycket att göra ur ett upphandlingsperspektiv för att underlätta övergången till Nis2. Informationsinhämtning behöver underlättas, vidareutbildningen behöver vara lättillgänglig och begriplig och vi behöver bättre analysera vilka behov som ska tillgodoses samt vilka krav som ska mötas.
Ur den aspekten är upphandlingen är ett fantastiskt redskap för att förändra. Men det är hög tid att agera. Genom att börja kravställa externt och inte minst sätta en säker, robust och fungerande struktur för cybersäkerhet internt redan nu vinner vi mycket. Om inte annat finns det stora ekonomiska vinster med att slippa släcka bränder när direktivet väl börjat få effekt.
Sandra Gaverud, Sverigechef på Fortinet
Kommentatorerna ansvarar för sina egna kommentarer