Så förbereder sig Hammarö, Kil och Forshaga för NIS2

Erik Franzén är CISO för Hammarö, Kil och Forshaga, och arbetar just nu med att förbereda de tre kommunerna för NIS2-direktivet. Det är ett brett arbete som omfattar många olika delar, däribland en tydligare incidenthantering och bättre koll på sina leverantörer. Här tittar kommunerna på att införa en incidenthanteringsfunktion som e-tjänst.

– NIS2 ställer högre krav på incidenthantering än vad som varit fallet tidigare. Därför vill vi föra in en funktion som gör det så lätt som möjligt att incidenthantera, där alla medarbetare ska veta hur man går tillväga. Därför ska vi nu införa hantering av informationssäkerhetsincidenter som e-tjänst, något vi tidigare endast haft för personuppgiftsincidenter.

NIS2 ställer också högre krav på att berörda aktörer ska ha kontroll över sina leverantörskedjor. Här ställer de tre kommunerna en rad frågor till sina leverantörer för att få bättre koll på hur de arbetar. 

– I det ursprungliga direktivet omfattades bara vissa delar, som exempelvis energi och hälso- och sjukvård. I och med NIS2 omfattas hela kommunens verksamhet. Därmed är det många leverantörer som vi behöver höra av oss till, både gamla och nya. 

– Just nu sammanställer vi en prioriteringsordning över våra leverantörer – vi kan inte kolla alla samtidigt. Vi kommer också ställa högre krav vid nya upphandlingar. Det är klart att vi även tidigare har försökt ha koll på våra leverantörer, men nu är det ett arbete som vi kommer att göra mer systematiskt. 

AI som säkerhetsfaktor

En annan utmaning för Erik Franzén i rollen som CISO är att utvecklingen inte alltid går lika fort på cybersäkerhetsområdet som den gör inom övrig digitalisering. Ett exempel är AI-området där han nu försöker utvärdera hur artificiell intelligens kan underlätta kommunernas informationssäkerhetsarbete. 

– Jag ser att AI kan vara till stor hjälp till exempel när det handlar om att göra riskbedömningar och prioritera säkerhetsåtgärder. Att rangordna vad som är viktigast är tidskrävande, och här kan AI frigöra mycket tid. Det finns redan flera leverantörer som erbjuder olika AI-lösningar inom informationssäkerhet och ett system som kan vara intressant är är Copilot for security.

I rollen som CISO gäller det även att ha koll på hur kommunens medarbetare använder AI. 

– I Hammarö kommun har vi satt upp AI-riktlinjer som man som kommunanställd behöver tänka på. Exempelvis handlar det om vilken information man inte bör ladda upp i ChatGPT eller någon annan publik tjänst för generativ AI. 

Hur ser informationssäkerheten annorlunda ut i Hammarö, Kil och Forshaga om 18 månader? 

– Då har vi fått till en mer ändamålsenlig informationssäkerhetsorganisation och ett högre medvetande bland medarbetarna.

– Sedan har vi förhoppningsvis kommit igång med AI som stärker vår säkerhet. Där är möjligheterna oändliga, så vi får se var vi landar.