NIS2 i Sverige: vad den nya cybersäkerhetslagen betyder för webb och integrationer

NIS2 i Sverige: vad den nya cybersäkerhetslagen betyder för webb och integrationer

Jörgen Lindahl
Jörgen Lindahl Grundare
3 min läsning

Kort svar

NIS2 innebär att fler verksamheter behöver arbeta mer systematiskt med cybersäkerhet. För webb och integrationer betyder det mer fokus på leverantörsansvar, åtkomst, loggning, incidenthantering och drift.

Även företag som inte omfattas direkt kan påverkas genom krav från kunder, partners eller upphandlingar.

Varför är webb och integrationer relevanta?

Många säkerhetsdiskussioner börjar i IT-miljön. Men moderna webbplatser är ofta kopplade till affärskritiska system.

Det kan vara:

  • CRM
  • ERP
  • e-handel
  • betalningar
  • kundportaler
  • formulärdata
  • dokumentflöden
  • nyhetsbrevssystem
  • lager och order

När webbplatsen blir en del av systemlandskapet blir den också en del av säkerhetsarbetet.

Vad bör företag fråga sin webbleverantör?

Bra frågor:

  1. Var hostas lösningen?
  2. Vem ansvarar för uppdateringar?
  3. Hur hanteras backup?
  4. Hur testas återställning?
  5. Finns loggning för viktiga händelser?
  6. Hur hanteras API-nycklar och secrets?
  7. Vilka externa tjänster används?
  8. Hur tas gamla användarkonton bort?
  9. Finns tvåfaktorsautentisering?
  10. Hur rapporteras incidenter?

Om leverantören inte kan svara tydligt är det en risk.

Integrationer kräver extra kontroll

En integration är ofta en tyst del av verksamheten. Den märks först när den slutar fungera.

För NIS2-liknande krav bör integrationer ha:

  • begränsad åtkomst
  • säker autentisering
  • loggning
  • felhantering
  • övervakning
  • dokumenterad datamodell
  • tydligt ägarskap
  • plan för ändringar i API:er

Det gäller särskilt kopplingar mellan e-handel, ERP, CRM och ekonomi.

WordPress, headless eller statiskt?

Teknikvalet påverkar säkerhetsarbetet.

WordPress kan vara rätt, men kräver disciplin kring plugins, teman, uppdateringar och behörigheter.

Headless CMS kan minska attackytan på den publika webbplatsen, men lägger mer ansvar på arkitektur och integrationer.

Statiska sajter kan vara mycket robusta, men passar inte alla behov.

Det finns inget universellt svar. Det finns bara bättre eller sämre matchning mellan risk, behov och förvaltning.

Läs mer i WordPress eller headless CMS?.

Dokumentation är inte pynt

I många projekt finns kunskapen bara hos den som byggde lösningen. Det fungerar tills något händer.

Miniminivå:

  • systemöversikt
  • externa tjänster
  • API-kopplingar
  • datatyper
  • ansvariga personer
  • driftmiljö
  • backup
  • incidentväg

Det behöver inte vara långt. Det behöver vara användbart.

Sammanfattning

NIS2 gör säkerhetsarbetet mer konkret för fler företag. Webbplatser, e-handel och integrationer behöver kunna beskrivas, underhållas och följas upp.

Det handlar inte om att göra varje webbprojekt tungt. Det handlar om att bygga lösningar som går att lita på när de blir en del av verksamhetens system.

Vill du se över integrationer eller teknisk grund? Läs mer om integrationer och webbkonsulting.

Källa: MSB om NIS2-direktivet.

NIS2 Säkerhet Integrationer
Tillbaka till bloggen

Har du ett projekt i tankarna?

Vi hjälper dig att ta nästa steg. Kontakta oss för en kostnadsfri konsultation.

Kontakta oss