Sedan NIS2-direktivet trädde i kraft i början av 2026 har integrationen av fysisk och digital säkerhet blivit allt tydligare. Det fortsatt instabila geopolitiska läget i kombination med en förstärkt hotbild innebär att många organisationer samtidigt gör ett strukturerat säkerhetsarbete med fokus på proaktivitet snarare än reaktivitet avgörande.
–På senare år har verksamheter börjat betrakta den fysiska säkerheten med lite nya ögon. Det handlar bland annat om synen på accesskontroll och behörighetsstyrning samt hur organisationer designar sin fysiska säkerhet och att åtgärderna oftare baseras på en faktisk hotbild eller riskbedömning, säger Markus Ekström, Security Compliance and Assurance Manager Nordics på ASSA ABLOY.
NIS2-direktivets helhetsperspektiv innebär ett skifte till en integrerad syn på säkerhet, ett systematiskt säkerhetsarbete där riskhantering, ledningsansvar och fysisk säkerhet samverkar för att skydda samhällsviktig verksamhet.
Markus Ekström
Security Compliance and Assurance Manager Nordics ASSA ABLOY
–NIS2 inkluderar alltifrån säkerhet i system och applikationer till människorna som använder dem och den fysiska säkerheten i exempelvis datacenter eller fabriksanläggningar. Det kräver i sin tur ett helhetstänk där fysisk och digital säkerhet interagerar, säger Markus Ekström.
NIS2-direktivet gör ett cykliskt säkerhetsarbete som präglas av systematik, förutsägbarhet och kontinuitet viktigare än någonsin. Ofta krävs en palett av expertis för att hantera NIS2-direktivets säkerhetskrav, som är för komplexa och innehåller för många olika komponenter för att exempelvis en säkerhetschef ska kunna ansvara för organisationens samlade säkerhetsarbete.
Ställ konkreta krav på leverantörers systematiska säkerhetsarbete
–Utöver att arbeta långsiktigt och systematiskt bör organisationer skapa en styrmodell som reglerar hur samtliga delar av verksamheten arbetar med och involveras i säkerhetsfrågor utifrån sitt perspektiv. Man bör också hålla sig uppdaterad kring nyhetsrapporteringen och underrättelser för att kontinuerligt få en bild av hur antagonisterna agerar och resonerar, säger Markus Ekström.
För många organisationer utgör leverantörer den största sårbarheten. De bär en viktig del av ansvaret för att skydda kundens infrastruktur. Markus Ekström rekommenderar därför köpare att ställa mer konkreta krav på sina leverantörers systematiska säkerhetsarbete och skydd av kritisk infrastruktur och att följa upp de kraven.
Från reaktiv krishantering till proaktivt säkerhetsarbete
När en incident väl inträffar reagerar de flesta människor instinktivt utifrån vad de har lärt sig och förhoppningsvis även övat på. Personer som inte har lärt sig hur de ska hantera exempelvis en cyberattack agerar i allmänhet på känsla och improviserat, vilket ofta är riskfyllt. En viktig pusselbit i det systematiska säkerhetsarbetet är därför att gå från reaktiv krishantering till ett proaktivt säkerhetsarbete.
–Det är viktigt att dokumentera exakt hur olika delar av organisationen ska agera om en incident inträffar. För att undvika avbrott i verksamheten vid en incident krävs dessutom teoretisk eller handgriplig övning. Det gäller även leverantörer till samhällsbärande funktioner. Om viktiga leveranser eller support avstannar riskerar de samhällsbärande funktionerna att sättas ur spel, säger Markus Ekström.
