Frågor och svar om cybersäkerhet och NIS2-direktivet för dig som livsmedelsproducent
Vilka skyldigheter har man som livsmedelsproducent när det gäller cybersäkerhet? Vad innebär EU:s NIS-2 direktiv och varför har det fått kritik? Vilka myndigheter kan och ska man vända sig till? För att reda ut detta och mycket annat har vi vänt oss till Johannes Eriksson, Group Chief Security Officer & CISO på Lantmännen, och Patrik Strömer, beredskapsexpert på Livsmedelsföretagen.
NIS2 (Network and Information Systems Directive 2) är ett EU-direktiv som antogs i slutet av 2022 för att ersätta det första NIS-direktivet från 2018. Syftet är att höja den gemensamma cybersäkerhetsnivån inom EU och stärka motståndskraften mot cyberattacker. NIS2 har ett bredare tillämpningsområde (fler sektorer omfattas, t.ex. livsmedel, avfallshantering, digitala leverantörer) och strängare krav på riskhantering, incidentrapportering och ledningsansvar än NIS1.
Direktivet implementeras i Sverige genom en ny cybersäkerhetslag som trädde i kraft den 15 januari 2026. Men den svenska implementeringen av direktivet har fått hård kritik både från näringslivet och från myndighetshåll. Kritiken handlar i korthet om att föreskrifterna för den nya lagen är för detaljerade, kostnadsdrivande och fokuserar för mycket på byråkrati och dokumentation istället för faktiska säkerhetshöjande åtgärder.
Så arbetar Lantmännen med cybersäkerhet
Johannes Eriksson är Group Chief Security Officer & CISO på Lantmännen, med ansvar för bland annat frågor som rör cybersäkerhet. Vi ville få reda på mer om hur ett medlemsföretag som Lantmännen agerar och resonerar kring cybersäkerhet och det aktuella NIS2-direktivet, så vi ställde fem frågor till Johannes.
1. Varför är cybersäkerhetsarbetet så viktigt just nu?
Cybersäkerhet har blivit mer och mer aktuellt sedan ungefär tio år tillbaka, då kriminella insåg att de kunde tjäna pengar på utpressningsattacker med hjälp av anonym kryptovaluta. I närtid har det såklart vuxit än mer på grund av de geopolitiska konflikter vi har både i Europa och omvärlden, vilket sammantaget gör att risker relaterade till bristande cybersäkerhet kan vara existentiella för de företag som påverkas.
2. Vad innebär cybersäkerhetslagen?
Cybersäkerhetslagen är den svenska implementationen av EU:s NIS2-direktiv, vilket innebär att EU nu pekar ut samhällsviktiga sektorer och sätter en slags minimumkrav för cybersäkerhet som gäller för aktörer inom dessa sektorer.
I min mening är det dock synd att EU valde att implementera detta som ett direktiv, eftersom det innebär att det finns stort utrymme för de enskilda medlemsländerna att välja hur man ska implementera direktivet och vilka krav som ska ställas på de påverkade företagen. Här ser vi nu en massa olika varianter runtom i EU, där länder väljer att göra på väldigt olika sätt. Det finns risk för att det snedvrider konkurrensen inom EU, men också att det blir svårare för företag att göra rätt i varje enskilt land.
3. Vad ska ett livsmedelsföretag göra, legalt och verksamhetsmässigt?
Om man inte redan har det, så bör man etablera ett systematiskt informationssäkerhetsarbete. Det betyder att man behöver ha någon form av metodstöd eller ledningssystem för hur man arbetar med detta, så att det görs just systematiskt. Det kan med fördel vara baserat på en standard såsom ISO 27001. Med det sagt så behöver man inte bli ISO 27001-certifierad – det kan vara en rätt kostsam historia.
Utöver det behöver man läsa cybersäkerhetslagen, cybersäkerhetsförordningen, och de förskrifter som framförallt Myndigheten för Civilt Försvar ger ut inom ramen för cybersäkerhetslagen. Där framgår exakt vilka krav man behöver efterleva. Att då ha en systematik i hur man arbetar med informationssäkerhet på sitt livsmedelsföretag kommer att underlätta efterlevnadsarbetet samt säkerställa att det blir en kontinuitet i arbetet som håller i år efter år, och att det inte bara blir en engångsinsats.
4. Finns det en risk för att arbetet med att uppfylla lagen och alla föreskrifter påverkar cybersäkerhetsarbetet negativt?
Ja, som föreskrifterna såg ut när de skickades på remiss så finns det en stor risk för det eftersom de fokuserade för mycket på arbetet med formalia, byråkrati, och dokumentation, snarare än faktiska säkerhetshöjande åtgärder. Det skapade stor debatt och många branschorganisationer och myndigheter var kritiska till utformningen av föreskrifterna i sina remissvar – inklusive Försvarets Radioanstalt (FRA) som är den myndighet som kommer att ta över ansvaret för föreskrifterna från och med juli i år.
Läs mer: ”MSB:s föreskrifter kostar miljarder i onödan”
5. Kan du säga något om hur Lantmännen arbetar med dessa frågor?
Lantmännen har ett ledningssystem för informationssäkerhet baserat på just ISO 27001. Inom ramen för detta ledningssystem gör vi nu de anpassningar som behövs för att efterleva bl.a. NIS2 i de olika länderna, men även annan lagstiftning inom området cybersäkerhet. Utöver det går vi rent konkret även igenom de olika ländernas krav, land för land och sektor för sektor som vi verkar inom, för att förstå vad myndigheterna kräver i just det landet och för det företaget. Nivån på krav och vilka åtgärder som krävs skiljer sig som sagt åt mellan länderna, så det är viktigt att ha koll på exakt vad kraven säger och inte bara förlita sig på att ens befintliga informationssäkerhetsarbete räcker.
Viktiga tips och länkar för livsmedelsföretag
Patrik Strömer är Livsmedelsföretagens beredskapsexpert och följer frågan om NIS2 på nära håll. Här delar Patrik med sig av tips och viktiga länkar för livsmedelsproducenter, bland annat om var man kan få hjälp och vilka skyldigheter man har som företag.
Vad innebär NIS2?
Det är en förkortning för skydd av Nätverk- och Informationssystem, alltså IT-säkerhet i större skala. Tanken är att om viktiga samhällsfunktioner har ett kontinuerligt arbete för att minska risken för attacker, intrång och störningar, så kan samhället som helhet fungera bättre och vara mer motståndskraftigt i tider av kris och krig.
Läs mer: NIS 2-direktivet: Säkra nätverks- och informationssystem (EU-kommissionen)
Vilken hjälp kan man som företag få av myndigheter?
Varje medlemsstat ska ta fram en strategi för cybersäkerhet. I Sverige är det Myndigheten för civilt försvar som utfärdar föreskrifter. Men det är de sektorsansvariga myndigheterna inom varje beredskapssektor som utövar tillsyn. Det är alltså Livsmedelsverket som i första hand kan bistå med hjälp eller svara på frågor från livsmedelsföretag.
Läs mer: Frågor och svar om NIS2 och cybersäkerhetslagen (Livsmedelsverket)
Vilka skyldigheter har företagen?
Ett företag som tillverkar eller distribuerar livsmedel och har en omsättning på över 10 miljoner euro årligen eller mer än 50 anställda omfattas av direktivet. Företaget ska då anmäla sig till Myndigheten för civilt försvar, och det uppmanar jag alla berörda medlemsföretag att göra.
Läs mer / anmäl ert företag: Att anmäla en verksamhet enligt cybersäkerhetslagen (Myndigheten för civilt försvar)
När kommer föreskrifterna för den svenska implementeringen av NIS2?
Det är svårt att veta just nu, men troligen efter sommaren. Förslaget var ute på remiss i slutet av förra året och fick tydlig kritik från flera tunga remissinstanser, bland annat av oss på Livsmedelsföretagen och våra medlemmar. I sin nuvarande form är förslaget så detaljerat att det kraftigt skulle minska företagens förmåga att på riktigt stärka sin motståndskraft och i stället behöva lägga resurser på rapportering och byråkrati.
Hur agerar Livsmedelsföretagen nu?
Vi fortsätter att informera både politiker och relevanta myndigheter så att de förstår vilka negativa konsekvenser som det liggande förslaget kommer få. Vi är tydliga med att vi och våra medlemsföretag prioriterar cybersäkerhet, men att det finns bättre och mer effektiva sätt sätt att stärka säkerheten än genom det nuvarande förslaget. Jag har gott hopp om att vi kommer kunna hitta en bra lösning som stärker cybersäkerheten utan att belasta företagen mer än nödvändigt.
För mer information
