• TEL: 0471-108 10
Sök

Vår kapacitet är redo för era uppdrag!

NIS2 och fysisk säkerhet – hur väl förberedda är svenska företag?

NIS2-direktivet skärper kraven på cybersäkerhet i hela EU – men omfattar även fysisk säkerhet. Hur väl förberedda är svenska företag på att skydda IT-utrustning från obehörig fysisk åtkomst? Här belyser vi vad direktivet innebär och varför fysisk säkerhet blivit en avgörande del av efterlevnaden.

När NIS2-direktivet nu implementeras i svensk lagstiftning skärps kraven på säkerhet inom samhällsviktiga och kritiska verksamheter. Diskussionen har till stor del handlat om cybersäkerhet – men direktivet omfattar även fysisk säkerhet. Frågan är: hur väl förberedda är svenska företag på den delen?

NIS2 – ett bredare säkerhetsdirektiv

NIS2 (Network and Information Security Directive 2) är EU:s uppdaterade cybersäkerhetsdirektiv och ersätter det tidigare NIS-direktivet. Syftet är att höja den gemensamma säkerhetsnivån inom unionen, särskilt i samhällsviktiga sektorer som energi, transport, hälso- och sjukvård, digital infrastruktur och tillverkning (Europeiska kommissionen, 2022).

Direktivet ställer krav på riskhantering, incidentrapportering och ledningsansvar. I artikel 21 anges att verksamheter ska vidta “lämpliga och proportionerliga tekniska, operativa och organisatoriska åtgärder” för att hantera risker mot nätverks- och informationssystem (EU-direktiv 2022/2555).

Det är här den fysiska dimensionen blir relevant.

Fysisk säkerhet är en del av NIS2

Även om NIS2 ofta beskrivs som ett cybersäkerhetsdirektiv, betonar både EU-kommissionen och ENISA (EU:s cybersäkerhetsbyrå) att säkerhet ska ses ur ett helhetsperspektiv – ett så kallat cyber-fysiskt angreppssätt (ENISA, 2023).

Det innebär att hot inte enbart kan hanteras digitalt. Om en angripare får fysisk åtkomst till en server, ett nätverksskåp eller en operatörsterminal kan det i praktiken kringgå många digitala skyddsåtgärder.

ENISA lyfter i sina vägledningar vikten av:

    • Skydd av lokaler och kritisk utrustning
    • Åtkomstkontroller
    • Fysisk separation av känsliga system
    • Säker hantering av hårdvara

(ENISA, NIS2 Technical Implementation Guidance, 2023)

Detta innebär att företag måste analysera inte bara sina brandväggar och nätverk, utan även:

    • Var står den kritiska utrustningen?
    • Vem kan komma åt den?
    • Är den låsbar, kapslad eller övervakad?
    • Finns det risk för manipulation i publika eller halvoffentliga miljöer?

Svensk implementering – vad säger myndigheterna?

I Sverige ansvarar bland annat MSB (Myndigheten för samhällsskydd och beredskap) för samordning av NIS-frågor. I regeringens promemoria om genomförandet av NIS2 framgår att kraven omfattar både organisatoriska och tekniska skyddsåtgärder, inklusive fysisk säkerhet när det är relevant för att skydda nätverks- och informationssystem (Regeringskansliet, Ds 2023:30).

Det innebär att fysisk åtkomst till IT-utrustning kan bli en tillsynsfråga, särskilt i verksamheter där manipulation kan få samhällskritiska konsekvenser.

Hur väl förberedda är svenska företag?

Det finns ännu begränsad offentlig statistik specifikt om fysisk NIS2-beredskap i Sverige. Däremot visar flera europeiska undersökningar att organisationer generellt är mer mogna inom digital cybersäkerhet än inom fysisk säkerhetsintegration.

Enligt analyser från bland annat ENISA och europeiska säkerhetsbranschen finns ofta:

    • Fragmenterade ansvarsförhållanden mellan IT-säkerhet och fysisk säkerhet
    • Otillräcklig samordning mellan säkerhetsfunktioner
    • Underskattning av risken för fysisk manipulation av IT-utrustning

(ENISA, 2023; Securitas Technology, 2024)

I praktiken innebär det att:

    • Serverrum ofta är skyddade
    • Men operatörsterminaler, informationsskärmar och industridatorer kan vara mer exponerade
    • Utrustning i lager, entréer och produktionsmiljöer saknar ibland robust fysisk kapsling

För många organisationer blir NIS2 därför en väckarklocka att se över hela säkerhetskedjan – inte bara nätverket.

Offentligt placerad utrustning – en blind fläck?

En särskild utmaning gäller IT-utrustning som är:

    • Publikt placerad
    • Delad mellan flera användare
    • Installerad i industriella miljöer med många externa aktörer

Det kan röra sig om:

    • Informationsskärmar
    • Terminaler för incheckning
    • Industriella operatörspaneler
    • Datorer i lager- och logistikmiljöer

Om dessa system manipuleras kan konsekvenserna bli allvarliga – både ur drift- och säkerhetsperspektiv.

NIS2:s riskbaserade ansats innebär att företag själva måste bedöma om sådan utrustning utgör en risk för nätverks- och informationssystemens säkerhet (EU-direktiv 2022/2555, art. 21).

Vad bör företag göra nu?

Utifrån direktivet och vägledningar från EU och ENISA bör svenska företag:

    1. Genomföra en integrerad cyber- och fysisk riskanalys
    2. Säkerställa att känslig IT-utrustning är skyddad mot obehörig fysisk åtkomst
    3. Införa tydlig ansvarsfördelning mellan IT och fysisk säkerhet
    4. Dokumentera åtgärder som en del av sitt NIS2-arbete

Fysisk säkerhet är inte längre en separat fråga – den är en del av det regulatoriska ramverket.

Slutsats

NIS2 är mer än ett cybersäkerhetsdirektiv. Det är ett helhetsdirektiv för skydd av nätverks- och informationssystem – där fysisk säkerhet är en integrerad del.

För svenska företag innebär det att frågan inte längre är om fysisk säkerhet är relevant, utan hur väl den är integrerad i det övergripande säkerhetsarbetet.

De organisationer som redan idag arbetar strukturerat med både digitalt och fysiskt skydd står betydligt bättre rustade inför kommande tillsyn och krav på efterlevnad.

Källförteckning

  1. Europeiska kommissionen (2022). Directive (EU) 2022/2555 on measures for a high common level of cybersecurity across the Union (NIS2 Directive).
    https://eur-lex.europa.eu/eli/dir/2022/2555

  2. Europeiska kommissionen. The NIS2 Directive – Official overview.
    https://digital-strategy.ec.europa.eu/en/policies/nis2-directive

  3. ENISA (2023). NIS2 Technical Implementation Guidance.
    https://www.enisa.europa.eu/publications

  4. Regeringskansliet (2023). Ds 2023:30 – Genomförande av NIS2-direktivet.

  5. MSB – Myndigheten för samhällsskydd och beredskap. Information om NIS och cybersäkerhet.
    https://www.msb.se

  6. Securitas Technology (2024). NIS2 and physical security analysis (branschkommentar).

Stefan Elmstrand

Stefan Elmstrand är VD och produktionsansvarig på EBV Plåt AB. Med ett starkt engagemang för kvalitet, effektiv produktion och långsiktiga kundrelationer driver han företagets utveckling inom modern plåtbearbetning.