NIS2-direktivet är EU:s sätt att skärpa kraven på cybersäkerhet för företag och organisationer i hela unionen. Det gäller för branscher som energi, transport, hälsovård och finans, och syftar till att skapa ett högre skydd mot cyberhot. En central del av NIS2 är kravet på transparens och proaktiv hantering av säkerhetsrisker – och här kommer SBOM in som en nyckel.
NIS2 kräver att organisationer har koll på sina system och kan identifiera sårbarheter snabbt. Med en SBOM får man en tydlig översikt över alla komponenter i sin mjukvara, vilket gör det enkelt att se vilka delar som kan vara utsatta för attacker. Dessutom underlättar SBOM arbetet med att rapportera incidenter och visa att man har kontroll över sin mjukvarusäkerhet, något som är ett uttryckligt krav i NIS2.
Enligt NIS2 måste incidenter som påverkar driften eller säkerheten rapporteras inom en kort tidsram – den första rapporten ska lämnas inom 24 timmar. Detta ställer höga krav på företag att snabbt identifiera och hantera incidenter, och SBOM är ett viktigt verktyg för att möta dessa krav.
Med SBOM kan man:
-
Uppfylla transparenskraven: Visa exakt vilka komponenter som ingår i sin mjukvara.
-
Snabbare incidenthantering: Identifiera och åtgärda sårbarheter innan de utnyttjas.
-
Bygga förtroende: Visa myndigheter och kunder att man tar cybersäkerhet på allvar.
SBOM är alltså inte bara ett verktyg – det är en del av strategin för att möta NIS2:s krav och undvika potentiella böter.
Mer om NIS2
Nedan följer videos från Myndigheten för samhällsskydd och beredskap (MSB) som går igenom regelverket och dess krav.