Så blev Älmhults kommun rustad för NIS2

EU:s NIS2-direktiv ligger till grund för den nya cybersäkerhetslag som inom kort införs i Sverige. Jämfört med det ursprungliga NIS-direktivet från 2018 ställer det nya direktivet tydligare krav på systematik, riskanalyser och säkerhetsåtgärder. Dessutom omfattar det fler organisationer. Syftet är att skapa en hög gemensam säkerhetsnivå inom unionen.

NIS2-direktivet berör 18 sektorer, elva högkritiska och sju kritiska. En högkritisk sektor har en proaktiv tillsyn, det vill säga innan något händer, medan en kritisk sektor bara får tillsyn vid klagomål eller om något går fel. Som en offentlig förvaltning tillhör Älmhults kommun den förstnämnda gruppen.

– Vi förstod ganska tidigt vad som var på gång. Redan hösten 2023 började vi diskutera hur vi skulle angripa det, även om det då inte fanns så mycket att gå på. Det innebar att vi var redo när regeringen kom med sitt delbetänkande (SOU 2024:18) i mars 2024 och kunde fånga upp det direkt. Vi insåg att vi hade rätt mycket på plats men att det också fanns mycket kvar att göra, säger Robert Palmqvist, CIO på Älmhults kommun.

”Från dag ett har jag sagt att detta är en jättebra lagstiftning, för det kommer att höja vår motståndskraft och bidra till att vi får bättre koll på vår information.”

— Robert Palmqvist

CIO, Älmhults kommun

Systemstöd ger tydligare bild

Första steget blev att informera kommunstyrelsens ledamöter om vad som väntade och då även betona att det formella ansvaret ligger hos dem. NIS2 slår tydligt fast att efterlevnaden är ledningens ansvar och att sanktionsavgifter kan vänta om så inte sker.

Nästa steg blev att boka in Atea för en halvdags fördjupad utbildning för samtliga förvaltnings- och verksamhetschefer. Arbetet med NIS2 är en gemensam insats, inte något som enbart ligger på it-avdelningen, framhåller Robert Palmqvist.

Tidigt i processen insåg Älmhults kommun också vikten av ett systematiskt informationssäkerhetsarbete.

För att få en tydlig bild av NIS2-efterlevnaden och hur nödvändiga åtgärder ska prioriteras använder kommunen Stratsys GRC-plattform för en systematisk genomgång av de olika momenten informationsklassning, riskanalys och uppföljning. GRC står för Governance (styrning), Risk management (riskhantering) och Compliance (regelverksefterlevnad).

– För några år sedan gjorde vi en rejäl förstudie och konkurrensutsättning av ledningssystem, framför allt inom området verksamhetsplanering. Då valde vi Stratsys för att de hade alla funktioner som vi behövde. Eftersom vi redan hade ett avtal var det lätt att även lägga till informationssäkerhetsmodulen, säger Robert Palmqvist.

Etablerat nätverk nav i NIS2-arbetet

En mindre grupp bestående av tre personer från it- och säkerhetsavdelningarna satte upp strukturen i plattformen med start i maj 2024 och var klara en månad senare. Efter semestern drog arbetet i gång på allvar.

Inom kommunen fanns redan ett etablerat nätverk bestående av verksamhetsrepresentanter med allt från systemförvaltare till handläggare som arbetar med GDPR, säkerhet och liknande frågor. Dessa personer blev också navet i NIS2-arbetet, som har delats in i fyra delprojekt.

I början fokuserade gruppen enbart på att inventera och dokumentera kommunens samtliga system. Allt fanns redan inventerat i Worddokument men samlades nu i en gemensam och mer strukturerad plattform.

– Nyckeln till framgång är att vi har brutit ner arbetet i olika steg. Vi har inte tittat vidare i menyerna, utan verkligen koncentrerat oss på ett moment i taget. Vi brukar jobba så. Ta inte ett för stort grepp, för då blir inget gjort. Bryt ner det och sätt delmål, som du betar av efter hand. Då blir det jättebra, säger Robert Palmqvist.

Enkelt med förbyggt riskbibliotek

På två månader inventerades 240 system, dokumenterat och färdigt i Stratsys, med systemägare och systemförvaltare tydligt angivna. Det har gett en betydligt bättre överblick och kontroll.

Därefter påbörjades klassningen av data. Hittills har närmare 250 informationstillgångar med omkring 1 000 attribut lagts in i systemet. Nyligen rullade även nästa fas i gång: riskanalysen, som väntas vara klar till sommaren.

– Vi har byggt ett riskbibliotek med de 60 vanligaste riskerna, som vi vid behov kan utöka. Utifrån det kan verksamheterna välja in de risker som är applicerbara på deras system och informationstillgångar. Det enda de behöver göra är att bedöma sannolikheten för att något ska hända och vad konsekvensen i så fall blir. Vi har även byggt åtgärder som man kan välja in tillsammans med riskerna, så det blir väldigt enkelt för dem, säger Robert Palmqvist.

Syftet är att få en heltäckande bild av var riskerna finns samt därefter göra en bedömning av vilka risker som måste elimineras helt och vilka man kan leva med men ändå bör vara medveten om.

– Vi strävar inte efter att få en hundraprocentig lösning, för det kommer ingen att lyckas med. Men vi är väldigt nöjda med det vi har gjort och vi kommer att kunna påvisa att vi har jobbat systematiskt med detta. Framför allt har verksamheterna kontroll på sin information. De vet exakt vad som finns i de olika systemen. Det gör att vi kan bygga de skyddsnivåer som fattas och som kan omfatta många system, säger Robert Palmqvist.

Skarp övning överraskade

Som övriga delprojekt inleddes riskanalysfasen med en workshop och övningar, med Atea, Stratsys samt 20 medarbetare från Älmhults kommun och de kommunala bolagen på plats.

Carl-Johan Ekelund, Head of Security på Atea, berättade mer ingående om NIS2, cybersäkerhetslagen och dess innebörd samt vilka hot som finns där ute.

Under dagen genomfördes även två grupparbeten. Dels om hur man genomför en riskanalys. Dels en skarp övning kring internet- och strömbortfall, som deltagarna inte förvarnats om och som var en förberedelse inför det kontinuitetsarbete som drar i gång i höst. Då handlar det om att bygga upp kontinuitetsplaner, checklistor och liknande i Stratsys.

Enligt Robert Palmqvist finns det en fin gemenskap mellan alla inblandade och ett starkt driv som genomsyrar hela projektet. Det märks inte minst vid dessa träffar.

– I nästan alla projekt vi driver är det väldigt nära mellan dem som ska jobba ihop. Så det är inte svårt att dra i gång saker. Vi behöver heller inte springa iväg med alla frågor till en ledningsgrupp, utan det finns mandat att fatta beslut ute i organisationen utifrån de ramar som är satta.

NIS2 höjer motståndskraften

Efter de fyra delprojekten anser sig Älmhults kommun vara väl rustad inför den nya cybersäkerhetslagen. Det finns också en plan för ett fortsatt systematiskt arbete med informationssäkerheten.

Det återstår dock ett femte steg, som Robert Palmqvist ser som den svåraste uppgiften. Som kund och beställare ansvarar kommunen för att kontrollera att även leverantörerna lever upp till NIS2-direktivet. Tanken är att få till ett bra koncept även för denna del.

– Som kommun har vi en rätt bred verksamhet. Så det handlar om att se till att flera hundra leverantörer sköter sig. Det känns som en stor utmaning. Visst, vi följer upp avtal redan i dag, men inte på den nivån, säger Robert Palmqvist.

Trots allt slit med NIS2, som de inblandade tappert måste utföra vid sidan om sina ordinarie arbetsuppgifter, är han positiv till den nya cybersäkerhetslagen:

– Från dag ett har jag sagt att detta är en jättebra lagstiftning, för det kommer att höja vår motståndskraft och bidra till att vi får bättre koll på vår information. Sedan har det varit ett hårt arbete, men det har det varit värt.

**************************

Text: Johan Bentzel 
Foto: Jonas Ljungdahl