Tidigare kunde organisationer förlita sig på policys och interna rutiner. I dag förväntar sig revisorer något annat: dokumentation som visar att rutinerna fungerar i praktiken. Frågan är inte längre om regler finns, utan om organisationen kan visa att de faktiskt fungerar.
Detta leder till en central fråga: kan ni när som helst visa vem som har eller har haft åtkomst till er kritiska infrastruktur och varför?
Varför är åtkomst till kritisk infrastruktur en del av revision?
Offentlig upphandling och revision ställer allt högre krav på tydlig kontroll över vem som har åtkomst till kritisk infrastruktur, inte bara på papper, utan i den dagliga verksamheten.
Offentliga projekt inom industri- och energisektorn fortsätter att växa i omfattning. Med den tillväxten följer ett ökat ansvar att kunna visa att viktiga processer, anläggningar och system är skyddade mot både interna och externa risker. Kritisk infrastruktur handlar alltså inte bara om IT. Den omfattar även fysiska platser, drifttekniska system och de roller som direkt påverkar säkerhet och verksamhetens kontinuitet.
Revision och kontroll av kritiska funktioner
Revisioner kopplade till offentlig upphandling har förändrats fundamentalt under de senaste åren. Där fokus tidigare låg på att rutiner fanns, ligger uppmärksamheten nu på hur dessa rutiner faktiskt följs i praktiken. NIS2-direktivet och den svenska säkerhetsskyddslagen ställer krav på att organisationer ska kunna visa revisorer att åtkomst till känsliga funktioner, system och miljöer hanteras på ett kontrollerat och transparent sätt.
Organisationer inom industri- och energisektorn blir alltmer beroende av tillfällig personal, konsulter och externa aktörer, som även omfattas av kraven på åtkomstkontroll och uppföljning. Det som verkligen räknas är om man konsekvent och tydligt kan visa att endast pålitliga personer får tillgång till kritiska delar av verksamheten – både anställda, konsulter och andra externa aktörer.
Från rutiner till kontinuerliga kontroller
Det räcker inte längre med att ha policydokument för att visa efterlevnad. Revisorer vill se spårbarhet över tid. Baserat på tydliga kriterier måste det gå att visa hur och varför ett beslut om åtkomst har fattats. Det räcker inte med gissningar eller muntliga överenskommelser.
Det räcker inte med ”Vi har dokumenterat det”
I praktiken är information om åtkomst ofta splittrad mellan olika system, avdelningar och filer. Översikter hanteras manuellt och är sällan uppdaterade. Som ett resultat saknar organisationer en central och pålitlig bild av vem som har eller hade åtkomst till kritisk infrastruktur och när.
Den största sårbarheten: externa aktörer och tillfällig personal
Störst risk vid revision uppstår ofta hos konsulter, tillfälliga medarbetare och externa leverantörer. På grund av den pågående bristen på medarbetare med rätt kompetens blir organisationer alltmer beroende av externa aktörer. Flera aktörer kan arbeta samtidigt inom ett och samma projekt eller på samma plats. Åtkomst ges ofta snabbt för att undvika driftstörningar, medan kontroll och regelbunden uppföljning ofta halkar efter.
Lagstiftning och upphandlingskrav: vad organisationer förväntas kunna visa
Lagstiftning och regelverk kräver inte alltid uttryckligen kontroller, men ställer tydliga krav på att personer i kritiska roller är tillförlitliga och att åtkomst till känsliga funktioner, system och miljöer hanteras på ett kontrollerat sätt.
I Sverige omfattas detta framför allt av:
Ställer krav på att organisationer som hanterar säkerhetskänslig verksamhet säkerhetsprövar personer som får tillgång till känsliga funktioner, system eller information. Kraven varierar beroende på vilken typ av roll eller ansvar personen har. Högre åtkomst och större ansvar innebär striktare kontroller och bedömningar. De ska inte bara göras vid anställning utan även följas upp när roller, ansvar eller åtkomstnivåer förändras.
På EU-nivå ställer NIS2-direktivet ökade krav på riskhantering, styrning och ansvar inom organisationer som driver samhällsviktig verksamhet. Organisationer behöver kunna visa att åtkomst till system, nätverk samt annan kritisk infrastruktur är kontrollerad och dokumenterad över tid.
Vilka frågor behöver organisationen ta ställning till?
Organisationer behöver kunna svara på centrala frågor kring åtkomst till kritisk infrastruktur och tillförlitlighet hos personer med åtkomst – både internt och externt. Exempel på sådana frågor är:
- Vilka roller har åtkomst till kritiska funktioner, system och miljöer – och vilka krav på tillförlitlighet gäller för respektive roll?
- Hur dokumenteras beslut om åtkomst, och hur säkerställer vi att bedömningarna uppdateras vid förändringar i roller, ansvar eller åtkomstnivåer?
- Finns det en central och aktuell översikt över vem som har eller har haft åtkomst under de senaste månaderna?
- Omfattas även tillfällig personal, konsulter och externa aktörer av samma krav och uppföljning?
I praktiken brister många organisationer inte på grund av ovilja, utan på grund av avsaknaden av ett strukturerat arbetssätt för granskning och uppföljning. Bakgrundskontroller hanteras ofta som en engångsföreteelse under rekryteringen. Ofta görs inte tillräcklig skillnad mellan kritiska och icke-kritiska roller, och åtkomst kopplas inte alltid till dokumenterad tillförlitlighet. Detta skapar sårbarheter som ofta först blir synliga vid en revision.
Vill du veta mer?
Vill du veta mer om interna risker, kritiska roller och hur organisationer kan strukturera arbetet på ett hållbart sätt utan att störa verksamheten?