Så var GDPR infört och många pustar ut efter en hård slutspurt. Men en del företag och myndigheter har annat att ta itu med.
För i dag debatterar riksdagen regeringens förslag till hur det så kallade NIS-direktivet från EU ska införlivas i svensk lag och på onsdag väntas förslaget klubbas. Lagen träder sedan i kraft redan den 1 augusti.
NIS står för network information security och lagen påverkar alla de aktörer som levererar samhällsviktiga tjänster – det handlar om energi, transport, bank- och finans, hälso- och sjukvård, dricksvattenförsörjning och digital infrastruktur. Och även om hotet om sanktioner är blygsammare så kan det utdömas upp till 10 miljoner kronor.
– Till skillnad från GDPR som har mjuka motiv – att skydda medborgarna – så har NIS hårda motiv – att skydda teknisk infrastruktur, säger Jonas Dellenvall, cto på Advenica.
Men trots att lagen varit på gång länge och snart alltså börjar gälla så ligger många efter med sina förberedelser. I en undersökning bland 100 större svenska företag från managementkonsultföretaget PwC tidigare i vår uppger bara 48 procent av de som berörs att de är ganska eller mycket bra förberedda. När det gäller GDPR så låg den siffran på 91 procent vid samma tidpunkt.
– Fokuset på GDPR har säkert påverkat, och GDPR-sanktionerna är höga. Och det kan ibland vara svårt att fokusera på flera saker samtidigt, säger Richard Oehme, expert på cybersäkerhet och skydd av kritisk infrastruktur på PwC.
Läs också: It-haverierna avlöser varandra – är det så vi ska ha det nu?
Jonas Dellenvall konstaterar att det samtidigt är stora skillnader på hur långt olika organisationer kommit.
– Det är en blandad kompott. Vissa är redo och på tårna medan andra just tagit sig igenom GDPR-pärsen.
Det handlar mycket om hur man organiserat arbetet konstaterar han – på en del håll är det samma personer som arbetat med bägge frågorna medan det är helt olika personer som arbetat med GDPR och NIS-direktivet på andra håll, och där ligger man ofta längre fram.
Sju myndigheter ska utöva tillsyn för de olika sektorerna är tanken. Myndigheten för samhällsskydd och beredskap får en samordnande roll och tillsynsmyndigheter vlir Statens energimyndighet, Transportstyrelsen, Finansinspektionen, Inspektionen för vård och omsorg, Livsmedelsverket och Post- och telestyrelsen.
Men de är ännu inte formellt utsedda ännu och eftersom de också kommer att vara nya i sin roll krävs en inkörningsperiod.
– Tillsynsmyndigheterna har inte svängt in sin ambitionsnivå ännu, säger Jonas Dellenvall.
– Det finns en god vilja ute i de berörda organisationerna. De vill vidta åtgärder men det finns ett glapp mellan vad man vill göra och oron för att investera pengarna fel. De behöver veta konkret om deras lösning är tillfredsställande och då behövs tillsynsmyndigheterna för att nicka åt dem – ”bra, ni har löst problemet”.
Trots att det alltså finns en hel del osäkerhet kvar så är det inget skäl att inte ha börjat med förberedelserna.
– Man kan absolut börja anpassa sin verksamhet. Det handlar om att skapa ordning och reda och att inte göra jobben i silos.
Medan GDPR ställde explicita krav på mekanismer – som att kunna lämna ut all data om en användare – så fins få sådana krav på funktioner för NIS.
– Det handlar om att arbeta strukturerat med informationssäkerhetsrisker och att sedan bygga skydd mot de risker man identifierat. Det är processkrav snarare än funktionskrav, säger Jonas Dellenvall.
Läs också: Håll ögonen på EPR – nästa EU-smocka efter GDPR
Ett extra lager av komplexitet läggs också på nästa vår när den nya svenska säkerhetsskyddslagen ska träda i kraft. Den överlappar delvis NIS men har ännu skarpare skrivningar och olika informationsmängder i en organisation kan inte omfattas av bägge lagarna samtidigt. Men under perioden innan säkerhetsskyddslagen träder i kraft kan även den information som kommer att omfattas av säkerhetsskyddslagen att omfattas av NIS. Krångligt alltså.
– Det där är klurigt för många aktörer – det gäller att sätta sig ner och analysera för att se vilken lag man omfattas av, eller om man omfattas av bägge, säger Richard Oehme.
Men samtidigt så lönar det sig att göra ett gott systematiskt arbete och bygga vidare på det man redan gjort inför GDPR konstaterar han.
– Det gäller att ha lite is i magen. Har man gjort ett grundläggande informationssäkerhetsarbete med NIS har man självklart nytta av det om man senare omfattas av den nya säkerhetsskyddslagen.
Är de här lagarna en viktig del för att höja nivån på säkerhetsarbetet?
– Många har ju efterfrågat en ökad tydlighet från regeringens sida, att man ska göra mer. Men samtidigt har vi sett i vår undersökning att bara en femtedel av de it-säkerhetsansvariga i Sverige rapporterar direkt till bolagsledningen vilket är en avsevärd skillnad mot omvärlden där över hälften gör det enligt en global PwC-undersökning. Så frågorna har ännu inte lyfts till den nivån ute på företagen. De måste in i styrelserummen, säger Richard Oehme.
