Finlands nya cybersäkerhetslag: Vad livsmedelsindustrins ledare behöver veta – och göra
av Ilpo Elfving / Econ CEO
Loading article content...
Fler artiklar
AI är en leveranskedja, inte en trollstav: vad NIS2 innebär för AI-styrning
Finlands cybersäkerhetslag gör ledningen personligt ansvarig för AI-risker. För ledare inom livsmedels-, handels- och hälsovårdssektorn är AI inte ett verktyg utan en digital leveranskedja som kräver samma styrning som vilken kritisk leverantör som helst.
När toptalanger blir matleverantörer: Varför Finland inte kan utnyttja den kompetens det utbildar
En utexaminerad AI-ingenjör levererar mat för Wolt under hot om utvisning medan 50-70% av internationella studenter avbryter sina studier inom specialområden. Hur Integrator-PM-modellen och intern AI kan lösa Finlands talangintegrationskris.
Finlands cybersäkerhetslag (124/2025) markerar en historisk vändpunkt för livsmedelssektorn. För första gången lägger lagstiftningen ett personligt och juridiskt ansvar för cybersäkerhet på er företagsledning och ålägger ledningen att själv identifiera om de omfattas av lagen. Detta är inte längre en intern IT-fråga – det är en strategisk affärsskyldighet som kräver direkt deltagande och dokumenterbar kompetens från er styrelse och verkställande direktör.
Lagens ikraftträdande den 8 april 2025 inledde en snäv tidsplan, där den mest centrala tidsfristen – införandet av en handlingsmodell för riskhantering – är den 8 juli 2025. Tiden är knapp, och era åtgärder måste vara dokumenterade, implementerade och godkända av er styrelse. Underlåtenhet att följa lagen utsätter inte bara ert företag för sanktionsavgifter på upp till 7 miljoner euro, utan även för driftsstörningar och utmaningar med anseendet.
I den här artikeln går jag igenom de konkreta åtgärder ni måste vidta och visar hur denna lagändring kan omvandlas till en strategisk konkurrensfördel och förbättrad motståndskraft.
Ledningens beslutsfattande: Kritiska åtgärder och omedelbara tidsfrister
⚠️
KRITISK TIDSFRIST NÄRMAR SIG
Tiden för att utarbeta och dokumentera en handlingsmodell för riskhantering
inom cybersäkerhet är endast till den 8 juli 2025. Om ert företag inte
redan är i full gång med implementeringen är det nu sista chansen att agera.
Tidsfristen för registrering hos Livsmedelsverket var den 8 maj 2025 – om ni
har missat den, åtgärda det omedelbart. Myndigheterna förväntar sig en aktiv
strävan mot regelefterlevnad.
8.5.2025
Tidsfrist för registrering hos Livsmedelsverket
8.7.2025
Tidsfrist för handlingsmodell för riskhantering
7M€
Maximal sanktionsavgift eller 1,4 % av den globala omsättningen
24–72 timmar
Rapporteringstid för incidenter
Företag inom livsmedelssektorn klassificeras i NIS2-regleringen vanligtvis som viktiga entiteter, för vilka den maximala administrativa sanktionsavgiften är 7 miljoner euro eller 1,4 % av den globala omsättningen (det högre av beloppen).
Ledningen är direkt ansvarig: Enligt 10 § i cybersäkerhetslagen är ert
företags styrelse, förvaltningsråd och verkställande direktör juridiskt
ansvariga för att säkerställa tillräcklig kompetens inom riskhantering för
cybersäkerhet och för att godkänna åtgärderna. Lagens krav på tillräcklig
förtrogenhet kommer sannolikt att kräva dokumenterad utbildning eller
introduktion. Detta är inte längre enbart en angelägenhet för IT-avdelningen;
det är ett ansvar på styrelsenivå.
Econs kommentarVerkligheten bakom regelefterlevnad
Omedelbara åtgärder för ledningen
Utred om ert företag omfattas av cybersäkerhetslagen: Kontrollera om ert företag klassificeras som en viktig entitet enligt NIS2-regleringen. Om så är fallet, ta reda på vad det innebär i praktiken.
Säkerställ att ni har registrerat er hos Livsmedelsverket: Om ert företag omfattas av lagens tillämpningsområde och ännu inte har registrerat sig, gör det omedelbart hos Livsmedelsverket via Ilppa-e-tjänsten.
Inför riskhantering: Upprätta en heltäckande handlingsmodell för riskhantering inom cybersäkerhet – ett slags "cyber-HACCP" – som täcker de 12 kärnområden som lagen kräver. Tidsfristen för att dokumentera och implementera detta är 8 juli 2025.
Förbered för incidentrapportering: Utveckla robusta interna processer för att upptäcka och rapportera betydande cybersäkerhetsincidenter till Livsmedelsverket inom 24–72 timmar.
Säkra er DIGITALA leveranskedja: Bedöm och hantera aktivt de cybersäkerhetsrisker som är förknippade med era direkta leverantörer och tjänsteleverantörer, särskilt de som tillhandahåller kritiska IKT-produkter eller -tjänster för er verksamhet. Obs: Detta gäller digitala system och tjänster, inte den fysiska livsmedelsleveranskedjan, även om dessa är sammankopplade.
Cybersäkerhetslag 124/2025: En ny verklighet för livsmedelssektorn
Cybersäkerhetslagen (124/2025) är Finlands nationella genomförande av EU:s NIS2-direktiv (direktiv (EU) 2022/2555). Finlands cybersäkerhetslag trädde i kraft den 8 april 2025 för att stärka cyberresiliensen inom kritiska sektorer.
NIS2-direktivet (EU) 2022/2555
EU:s rättsliga grund
Cybersäkerhetslagen (124/2025)
Finlands genomförande
Traficom
Nationell samordnare
Livsmedelsverket
Tillsynsmyndighet för livsmedelssektorn
Traficom (Transport- och kommunikationsverket) fungerar som gemensam kontaktpunkt för NIS2-samordningen, medan Livsmedelsverket är tillsynsmyndighet för livsmedelssektorn.
Lagen erkänner att cyberhot mot centrala delar av livsmedelssektorn kan vara lika förödande som fysiska katastrofer, med påverkan inte bara på enskilda företag utan även på allmän säkerhet, konsumentförtroende och den nationella leveranskedjans integritet.
Varför cybersäkerhet är affärskritiskt inom livsmedelsindustrin
Cyberhot kan verka abstrakta jämfört med konkreta livsmedelssäkerhetsrisker som kontaminering, men de kan störa produktionen, undergräva konsumenternas förtroende och till och med utgöra direkta risker för allmän säkerhet. Konsekvenserna varierar beroende på aktör inom livsmedelssektorn:
Livsmedelsproducenter och -förädlare
Störningar i produktionslinjen: Ransomware-attacker mot produktionsstyrningssystem (MES) eller SCADA-system kan stoppa produktionslinjer i dagar eller veckor.
Kvalitetskontrollen äventyras: Cyberattacker mot styrningen av pastöriserings-, steriliserings- eller kylsystem kan äventyra livsmedelssäkerheten.
Stöld av recept och immateriella rättigheter: Obehörig åtkomst till egna recept, processparametrar eller kunddata.
Förlust av insyn i leveranskedjan: Störningar i affärssystem (ERP) som påverkar råvaruinköp och produktionsplanering.
Inom livsmedelsindustrin kräver operativ teknik (OT), såsom styrsystem för produktionslinjer (PLC, SCADA), särskild uppmärksamhet. Dessa är ofta äldre, inte utformade för nätverksanslutning, och deras störningar kan direkt påverka produktionens kontinuitet och till och med livsmedelssäkerheten. Lagens riskhanteringsskyldigheter omfattar även dessa OT-miljöer.
Grossister och distributörer av livsmedel
Störningar i logistiknätverket: Cyberattacker mot lagerhanteringssystem (WMS) eller transporthanteringssystem (TMS) kan lamslå distributionen.
Avbrott i kylkedjeövervakningen: Komprometterade temperaturövervakningssystem som hotar produkternas kvalitet och säkerhet.
Attacker mot EDI/Peppol-system: Störningar i elektroniska datautbytessystem som påverkar orderhantering, fakturering och leverantörskommunikation.
Kunddata-intrång: Obehörig åtkomst till kundinformation, inköpsprocesser eller prisinformation.
Digitala sårbarheter mellan aktörer
Kompromettering av affärssystem (ERP): Centrala affärssystem som hanterar allt från inköp till kundrelationer.
Attacker mot ekonomisystem: Bokföringssystem, betalningshantering och bankanslutningar.
Intrång i kommunikationsplattformar: E-postsystem, samarbetsplattformar samt leverantörs- och kundportaler.
Störningar i molntjänster: SaaS-applikationer för CRM, lagerhantering eller kvalitetssäkring.
Cyberattacker är ett konstant och växande hot mot livsmedelssektorn. Enligt
Dragos rapport för Q1 2025 utsattes 708 industriella organisationer
globalt för ransomware-attacker, en betydande ökning från föregående kvartal.
Särskilt tillverkningsindustrin var måltavla med 480 fall, varav
livsmedels- och dryckesindustrin stod för 75 fall (16 % av attackerna mot
tillverkningsindustrin). Dessa siffror visar tydligt att livsmedelssektorn är
ett attraktivt mål för cyberkriminella.
Vem som måste följa lagen: En detaljerad bedömning av tillämpningsområdet
Cybersäkerhetslagens tillämpningsområde inom livsmedelssektorn riktar sig till medelstora och stora aktörer som bedriver partihandel, industriell produktion eller förädling av livsmedel och som uppfyller vissa storlekskriterier. Det är av yttersta vikt att företagen själva identifierar om de omfattas av lagen.
💡
Vanliga missförstånd om storlekskriterier
Observera: När ni bedömer ert företags storlek måste ni titta på hela företaget, inte bara de enheter som bedriver partihandel, industriell produktion eller förädling av livsmedel.
För att omfattas av lagen måste företaget uppfylla:
ANtingen tröskeln för antal anställda (≥ 50 anställda)
ELLERbåda de ekonomiska trösklarna:
årlig omsättning >10M€
balansomslutning >10M€
Att enbart överskrida antalet anställda är alltså tillräckligt, men att överskrida omsättningen räcker inte om antalet anställda är under 50 och balansomslutningen inte överskrids.
Storlekskriterier (bedömning för hela företaget)
Om antalet anställda ELLER båda de ekonomiska kriterierna uppfylls, omfattas företaget av lagen:
Antal anställda
≥ 50 anställda
Ekonomiska kriterier
Årlig omsättning OCH balansomslutning > 10M€
Tillämpningsområde för aktörer inom livsmedelssektorn
OMFATTAS AV LAGEN (om storlekskriterierna uppfylls och industriell verksamhet eller partihandel bedrivs):
Industriell livsmedelsproduktion och -förädling:
Storskalig mejeriförädling, osttillverkning
Industriell förädling av kött/fisk/frukt/grönsaker
Specialiserade råvaruleverantörer till tillverkare
Import-/exportföretag för livsmedel
Livsmedelslogistikföretag som bedriver betydande lagring relaterad till partihandel eller distribution av livsmedel och vars egna digitala system (som WMS) är kritiska för denna verksamhet
VANLIGTVIS UTANFÖR LAGEN (om de inte definieras som kritiska enligt CER-direktivet senast i mitten av 2026):
Primärproduktion inom jordbruk/fiske (jordbruksföretag, fiskodlingar)
Fodertillverkning
Detaljhandelsbutiker och stormarknader (direktförsäljning till konsument)
Restauranger, de flesta cateringföretag och livsmedelstjänster riktade direkt till konsumenter
Tillverkare av livsmedelsförpackningsmaterial (om de inte också tillhandahåller kritiska digitala tjänster till livsmedelssektorn)
Standardlagring och -transport av livsmedel (om de inte tillhandahåller kritiska digitala tjänster eller definieras enligt CER-direktivet)
💡
Förtydligande för företag med flera verksamhetsområden: Detaljhandel/matservering med centraliserad produktion
Cybersäkerhetslagens (124/2025) huvudsakliga fokus inom livsmedelssektorn är på industriell skala av produktion, förädling och partihandel. Rena detaljhandels- eller matserveringsverksamheter ligger generellt utanför lagens tillämpningsområde.
Den kritiska skillnaden uppstår om ett företag som uppfyller storlekskriterierna, och vars huvudsakliga verksamhet kan vara detaljhandel eller matservering, också bedriver betydande partihandel eller har centraliserade tillverknings- eller förädlingsenheter för livsmedel i industriell skala.
Även om lagen (124/2025) medför nya skyldigheter, kan ett strategiskt tillvägagångssätt för regelefterlevnad öppna upp för betydande affärsfördelar:
Operativ motståndskraft: Robust cybersäkerhet innebär direkt bättre skydd mot störningar, vilket minimerar driftstopp och säkerställer verksamhetens kontinuitet.
Förtroende i leveranskedjan: Att kunna visa upp starka cybersäkerhetsrutiner ökar förtroendet hos leverantörer och B2B-kunder och kan bli en konkurrensfördel.
Moderniseringsmöjligheter: Granskningen i samband med regleringen kan belysa ineffektiva system, vilket leder till möjligheter för modernisering, såsom automatisering, effektivare datautbyte eller konsolidering av system och programvarulicenser.
Kostnadsbesparingar: Proaktiv riskhantering är nästan alltid billigare än att hantera konsekvenserna av en incident.
Förbättrad informationshantering: Implementeringen förbättrar den övergripande informationshanteringen, kvalitetskontrollen, spårbarheten och andra regulatoriska krav.
✅
Strategisk fördel
Cybersäkerhetslagen (124/2025) är inte bara ett regulatoriskt hinder, utan
fungerar som en katalysator för att granska och förbättra era digitala
verksamheter, stärka er motståndskraft och potentiellt hitta betydande
operativa och ekonomiska effektivitetsvinster.
Centrala krav för regelefterlevnad: Tre huvudpunkter
Om ert livsmedelsföretag omfattas, kräver lagen (124/2025) tre huvudsakliga åtgärder:
1. Registrering hos Livsmedelsverket
Tidsfrist: 8 maj 2025 (Om ni inte har registrerat er, gör det omedelbart!)
Aktörer som omfattas av tillämpningsområdet var skyldiga att själva identifiera sig och registrera sig hos Livsmedelsverket via e-tjänsten Ilppa. Detta meddelade myndigheten att ert företag är en NIS2-aktör inom livsmedelssektorn.
Uppgifter som ska anmälas:
Organisationens namn, FO-nummer, adress och kontaktuppgifter (inklusive kontaktperson för cybersäkerhet)
Bekräftelse av sektorsklassificering (livsmedelsproduktion, -förädling eller partihandel)
Uppgifter om eventuell gränsöverskridande verksamhet inom EU
⚠️
Missade ni tidsfristen den 8 maj 2025?
Registrera er omedelbart via e-tjänsten Ilppa (Anmäl
verksamhet↗). Även om en sen registrering
inte är idealisk, visar den vilja att följa reglerna. Myndigheten strävar
i första hand efter att hjälpa företag att uppnå regelefterlevnad, inte att
omedelbart bestraffa ärliga ansträngningar.
2. Införande och innehåll i en handlingsmodell för riskhantering inom cybersäkerhet
Tidsfrist: 8 juli 2025 (Detta är en kritisk tidsfrist – tiden är knapp!)
Detta är hörnstenen i regelefterlevnaden och en kontinuerlig process, inte en engångsuppgift. Enligt 47 § i cybersäkerhetslagen måste ert företag upprätta, genomföra och upprätthålla – samt regelbundet utvärdera och uppdatera – en dokumenterad handlingsmodell för riskhantering inom cybersäkerhet, vilket också kan ses som ett slags "cyber-HACCP-modell".
Om ert företag redan har kvalitets- eller riskhanteringssystem (som HACCP, ISO 22000, ISO 27001), bör ni utnyttja dessa befintliga processer och dokumentation och utvidga dem till att även omfatta cybersäkerhetskraven.
Riskhanteringsåtgärderna måste vara proportionella i förhållande till ert företags storlek, sannolikheten för incidenter och deras potentiella konsekvenser. De ska beakta tillgängliga aktuella lösningar och kostnadseffekter.
9 § i lagen definierar 12 områden som handlingsmodellen för riskhantering inom cybersäkerhet måste omfatta:
12 områden för riskhantering inom cybersäkerhet
🎯
1. Riktlinjer för hantering av cybersäkerhetsrisker och bedömning av effektiviteten av riskhanteringsåtgärder
Definiera och dokumentera ramverket för cybersäkerhetshantering. Skapa en policy som godkänts av högsta ledningen. Integrera cyberrisker i befintlig riskhantering (HACCP, kvalitet, leveranskedja) och definiera roller.
🔒
2. Riktlinjer som gäller säkerheten i kommunikationsnät och informationssystem
Dokumentera specifika förfaranden för att säkra IT- och operativteknologiska (OT) system. Beakta separat kontors-IT-nätverk och produktions-OT-nätverk, som ofta har äldre utrustning.
🛠️
3. Säkerheten vid förvärv, utveckling och underhåll av kommunikationsnät och informationssystem
Integrera cybersäkerhetskrav i upphandlingsprocesser för system och utrustning från början, särskilt för produktionsutrustning och styrsystem.
🔗
4. Den övergripande kvaliteten och resiliensen i leveranskedjan för leverantörers produkter och tjänsteleverantörers tjänster
Bedöm och hantera riskerna i er DIGITALA leveranskedja: partner som tillhandahåller IKT-produkter och -tjänster, såsom programvaru- och molntjänstleverantörer. Detta gäller inte direkt den fysiska råvarukedjan.
📋
5. Tillgångsförvaltning och identifiering av funktioner som är viktiga med tanke på dess säkerhet
Identifiera och upprätthåll en förteckning över alla era digitala resurser (IT/OT). Identifiera och klassificera kritiska system som direkt påverkar livsmedelssäkerhet, kvalitet och produktionskontinuitet.
3. Anmälan av betydande incidenter
Tidsplan: Första anmälan inom 24 timmar, mer detaljerad anmälan inom 72 timmar, slutrapport inom en månad.
Ni är juridiskt skyldiga att anmäla betydande incidenter till Livsmedelsverket (via Traficoms nationella incidentanmälningsportal). En betydande incident är en som:
Har orsakat eller kunde ha orsakat en allvarlig driftsstörning eller betydande ekonomisk förlust för ert företag
Har påverkat eller kunde ha påverkat andra fysiska eller juridiska personer genom att orsaka betydande materiell eller immateriell skada
Exempel från livsmedelssektorn:
Ransomware-attacker som stoppar produktionen eller påverkar livsmedelssäkerhetssystem
Dataintrång som avslöjar kunddata, leverantörsinformation eller egna recept
Cyberattacker mot kvalitetslednings- eller spårbarhetssystem
Kompromettering av EDI/Peppol-system som påverkar kommunikationen i leveranskedjan
Vilken som helst cyberincident som kräver produktionsstopp eller återkallelse av produkter
Kritiska tidsfrister och nuläge: Agera nu!
Kritiska tidsfrister för tillämpning av lag 124/2025
8.4.2025
Lag 124/2025 trädde i kraft
Anmälningsskyldigheten för cyberincidenter började.
8.5.2025
Tidsfristen för registrering löpte ut
Registrering hos Livsmedelsverket. Om ni är sena, registrera er omedelbart.
8.7.2025
Upprättande av handlingsmodell för riskhantering
Enligt 47 § 3 mom. i cybersäkerhetslagen (124/2025) ska den handlingsmodell för riskhantering inom cybersäkerhet som avses i 8 § i lagen upprättas inom tre månader från lagens ikraftträdande (8 april 2025), så den absoluta tidsfristen är den 8 juli 2025.
⚠️
Verkligheten
Med endast veckor kvar till tidsfristen den 8 juli 2025 borde företag redan vara långt framme i implementeringsfasen av sin riskhanteringsmodell, inte i början av planeringen. Att noggrant utveckla och implementera en heltäckande handlingsmodell för riskhantering som uppfyller lagens krav tar vanligtvis minst 6–12 månader, beroende på organisationens storlek och utgångsläge.
För företag som börjar nu: Fokusera först på en dokumenterad riskbedömning och grundläggande säkerhetskontroller. Fullständig implementering kan fasas in, men ni måste ha försvarbara interimistiska åtgärder på plats senast den 8 juli.
Snabbstart: Grundläggande cyberhygien för livsmedelsföretag
Om formell cybersäkerhet är nytt och resurserna är begränsade, börja med dessa centrala metoder. Även om de inte ensamma uppfyller alla NIS2-krav, utgör de en kritisk grund och är i linje med Traficoms rekommendationer om grundläggande praxis för informationssäkerhet (lag 124/2025, 9 §, punkt 11).
Omedelbara åtgärder (1-4) & Förbättringar på kort sikt (5-8)
🛡️
1. Grundläggande skydd för terminaler
Installera och uppdatera kontinuerligt antivirus-/antimalware-program på alla datorer och servrar. Aktivera automatiska uppdateringar för operativsystem och all programvara. Implementera och konfigurera en grundläggande nätverksbrandvägg.
🔐
2. Säkra lösenord och MFA
Kräv starka, unika lösenord för alla användar- och systemkonton. Inför en lösenordshanterare för anställda. Aktivera multifaktorautentisering (MFA) där det är möjligt, särskilt för fjärråtkomst och administratörskonton.
💾
3. Säkerhetskopiering av data och återställningstest
Implementera automatiska dagliga säkerhetskopior av all kritisk affärsdata och systemkonfigurationer. Förvara säkerhetskopior säkert och separat (t.ex. offline eller i en separat molnmiljö). Testa regelbundet er förmåga att återställa från dessa säkerhetskopior.
🎓
4. Personalens medvetenhet och rapportering
Genomför grundläggande utbildning för all personal i att känna igen nätfiskemeddelanden, misstänkta länkar och social manipulationstaktiker. Upprätta en enkel, tydlig intern process för anställda att omedelbart rapportera misstänkta säkerhetsincidenter.
🌐
5. Grundläggande nätverkssäkerhet
Säkra ert Wi-Fi-nätverk (använd WPA3-kryptering, starka lösenord). Segmentera ert nätverk om möjligt (separat gäst-Wi-Fi från företagssystem; idealt sett separat kontors-IT från produktions-/OT-nätverk). Byt standardlösenord för administratörer på all nätverksutrustning.
ℹ️
Börja i liten skala, bygg vidare
Dessa grundläggande metoder motverkar många vanliga hot och utgör grunden för en mer omfattande NIS2-efterlevnad. Fokusera på konsekvent tillämpning och personalens engagemang.
Utnyttja befintliga ramverk: Om ni redan har HACCP-, ISO 22000-, BRC- eller IFS-certifieringar, använd deras riskhanterings- och dokumentationsstrukturer som grund. Många processer kan utökas istället för att byggas upp från grunden.
Självbedömning: Kontroll av efterlevnadsberedskap
Använd detta stegvisa tillvägagångssätt, baserat på Traficoms verifieringskategorier, för att bedöma er nuvarande cybersäkerhetsnivå i förhållande till lagens (124/2025) krav och för att identifiera brister.
Nivå 1 är obligatorisk dokumentation. Börja med nivå 1 och fortsätt gradvis mot nivå 2.
Nivå 2 ger en god funktionell säkerhet.
Nivå 3 erbjuder en högre säkerhetsnivå, rekommenderas för större/högriskaktörer inom livsmedelssektorn eller de som strävar efter att visa mogen cybersäkerhet.
ℹ️
Nivå 1: Granskning av dokumentation och policyer (Finns era planer?)
Cybersäkerhetspolicyer:
Har ni skriftliga, av ledningen godkända cybersäkerhetspolicyer som täcker de 12 centrala riskområdena?
Vet personalen var dessa policyer finns, och förstår de sin roll?
Granskas och uppdateras policyerna regelbundet (minst årligen eller efter betydande ändringar/incidenter)?
Riskbedömningsdokument:
Har ni dokumenterat er process för riskbedömning inom cybersäkerhet?
Underhåller ni en förteckning/ett register över identifierade cyberrisker i er livsmedelsverksamhet?
Har kritiska digitala resurser (IT/OT) identifierats och deras specifika risker bedömts?
Incidenthanteringsplan:
Har ni en dokumenterad incidenthanteringsplan, inklusive roller, ansvar och kommunikationsförfaranden?
Täcker den rapporteringskraven på 24/72 timmar till Livsmedelsverket?
Har ni övat eller simulerat era hanteringsrutiner?
Utbildnings- och medvetenhetsregister:
ℹ️
Nivå 2: Granskning av tekniskt bevis och implementering (Fungerar era planer?)
Systemkonfigurationer:
Granska de faktiska systeminställningarna (brandväggar, åtkomsthantering, säkerhetsprogram) med IT-/OT-personal eller externt stöd. Säkerställ att säkra konfigurationer är implementerade och att standardlösenord har bytts ut.
Granskning av åtkomsthantering:
Granska användarkonton, åtkomsträttigheter och implementeringen av MFA i centrala system. Kontrollera inaktiva konton eller överdrivna rättigheter. Säkerställ att administratörsåtkomst är begränsad och övervakad.
Hantering av uppdateringar och sårbarheter:
Granska processerna för att identifiera och tillämpa programuppdateringar och säkerhetsfixar. Kontrollera föråldrad eller ej supporterad programvara/firmware.
Granskning av övervakning och loggar:
Granska säkerhetsloggarna för centrala system. Kontrollera om övervakningslarm är konfigurerade för misstänkt aktivitet. Säkerställ framgångsfrekvensen för säkerhetskopior och systemens tillgänglighetsloggar.
ℹ️
Nivå 3: Avancerad testning och validering (Hur motståndskraftiga är ni egentligen?)
Sårbarhetsskanning:
Genomför regelbundna sårbarhetsskanningar av nätverket (interna och externa) för att identifiera exploaterbara svagheter. Testa webbapplikationer för vanliga sårbarheter.
Penetrationstestning:
Överväg att anlita kvalificerade externa experter för att genomföra kontrollerade penetrationstester mot era kritiska system för att simulera verkliga attacker.
Återställnings- och kontinuitetstestning:
Genomför faktiska återställningstester från säkerhetskopior för att säkerställa dataintegritet och återställningstider. Genomför affärskontinuitetsövningar för scenarier med stora incidenter.
Validering av regelefterlevnad:
Överväg en oberoende extern revision eller gapanalys mot kraven i lagen (124/2025) eller välkända ramverk som ISO 27001 eller IEC 62443 för OT-system.
Externt stöd
Cybersäkerhetskonsulter: Oberoende experter kan hjälpa till med gapanalyser, policyutveckling, implementering av riskhantering och validering av regelefterlevnad. Sök konsulter med erfarenhet från livsmedelsindustrin och/eller OT-säkerhet.
Leverantörer av hanterade säkerhetstjänster (MSSP): För företag utan intern säkerhetskompetens kan MSSP:er erbjuda outsourcad övervakning, hotdetektering och incidenthanteringstjänster.
Branschorganisationer: Livsmedelsbranschens organisationer kan erbjuda cybersäkerhetsresurser, delning av bästa praxis och möjligheter till peer-learning som är anpassade för sektorn.
ℹ️
Börja med officiella svenska källor
Börja med officiella svenska källor, såsom Livsmedelsverkets vägledning och
Cybersäkerhetscentrets Cybermätare samt Traficoms detaljerade rekommendation.
När ert program mognar, anpassa er till relevanta internationella standarder
och överväg professionell hjälp om er riskbedömning visar ett behov.
Fokus på säkerheten i den DIGITALA leveranskedjan
Lagen (124/2025) lägger stor vikt vid hantering av cybersäkerhetsrisker i era leveranskedjor. En kritisk punkt för livsmedelssektorn: Detta omfattar alla direkta leverantörer vars digitala produkter eller tjänster, om de komprometteras, skulle kunna påverka säkerheten i er verksamhet, era nätverk och era informationssystem.
Livsmedelssektorn är van vid att hantera den fysiska leveranskedjan (råvaror, förpackningar, logistik). NIS2-lagen gäller den digitala leveranskedjan – IT-leverantörer, programvaruleverantörer, molntjänstleverantörer och andra teknikpartners och intressenter vars informationssystem er operativa verksamhet är beroende av.
Centrala krav för livsmedelsföretag
📋
Underhåll en förteckning över DIGITALA leverantörer
Skapa och underhåll en heltäckande förteckning över alla direkta leverantörer och tjänsteleverantörer, med särskild uppmärksamhet på dem som tillhandahåller kritiska IKT-produkter och -tjänster för er verksamhet.
🔍
Bedöm leverantörernas säkerhetsrutiner
Bedöm cybersäkerhetsnivån hos era kritiska leverantörer med hjälp av frågeformulär, granskning av certifikat (t.ex. ISO 27001), utvärdering av säkerhetspolicyer eller revisioner för högriskleverantörer.
📄
Avtalsenliga säkerhetskrav
Inkludera specifika cybersäkerhetsklausuler i leverantörsavtal, inklusive krav på att upprätthålla säkerhetsstandarder, anmäla dataintrång och samarbeta vid incidenthantering.
🔧
Hantera produktsårbarheter
Förstå de typiska sårbarheterna i de produkter och tjänster ni upphandlar. Följ sårbarhetsmeddelanden och tillämpa patchar/åtgärder snabbt. Överväg att begära en mjukvaruförteckning (SBOM) för kritisk programvara.
🚨
Planera för leverantörsincidenter
Utveckla beredskapsplaner för cyberincidenter hos era kritiska leverantörer. Vad händer om ert molnbaserade ordersystem går ner? Vad händer om fjärrunderhållsanslutningen till PLC-enheterna i produktionslinjen komprometteras?
Digitala beroenden med hög risk:
Produktionsstyrningssystem (MES) som kontrollerar produktionslinjer
Affärssystem (ERP) som hanterar centrala affärsprocesser
System för hantering av leveranskedjan (SCM) som samordnar inköp och logistik
Lagerhanteringssystem (WMS) som styr distributionen
Kvalitetsledningssystem (QMS) som säkerställer efterlevnad
EDI/Peppol-system för B2B-kommunikation
SCADA/industriella automationssystem som hanterar produktionsutrustning
Exempel på digitala leverantörer att beakta:
EDI/Peppol-säkerhet: Bedöm säkerheten hos era EDI-partners och Peppol-accesspunkter från början till slut.
Digitala anslutningar till råvaru- och förpackningsleverantörer: EDI, portaler, API:er.
Tredjepartslogistikleverantörer: och deras lagerhanteringssystem.
Molntjänstleverantörer: för spårbarhets- och kvalitetssystem för livsmedel.
Leverantörer av utrustningsunderhåll: med fjärråtkomstmöjligheter.
ℹ️
En metafor för leverantörssäkerhet
Precis som ni granskar era råvaruleverantörers livsmedelssäkerhetscertifikat
och rutiner, måste ni nu granska era centrala digitala leverantörers
cybersäkerhetsåtgärder. En komprometterad programuppdatering från en betrodd
leverantör kan vara lika skadlig som ett kontaminerat parti råvaror.
Ledningens ansvar: Detta är inte bara en IT-uppgift
En central del av lagen (124/2025) är det direkta juridiska ansvar som läggs på företagets ledning. Enligt 10 § i lagen ska ledningen säkerställa tillräcklig kompetens inom riskhantering för cybersäkerhet och godkänna åtgärderna för riskhantering.
Kompetenskrav
Ledningen ska upprätthålla tillräcklig kompetens inom riskhantering för cybersäkerhet
Godkännandebefogenhet
Ledningen ska godkänna åtgärderna för riskhantering inom cybersäkerhet
Utbildningsskyldighet
Ledningen ska delta i lämplig utbildning i cybersäkerhet
Tillsynsansvar
Ledningen ska övervaka genomförandet av säkerhetsåtgärder
Vad detta innebär i praktiken för ledare inom livsmedelssektorn:
Integrera cyberrisk i styrningen: Cyberrisk måste vara en regelbunden punkt på styrelsens dagordning, hanterad sida vid sida med finansiella, operativa och livsmedelssäkerhetsrisker.
Resursallokering: Ledningen ansvarar för att säkerställa tillräcklig budget, personal och resurser för cybersäkerhet, i proportion till de identifierade riskerna.
Främja en säkerhetskultur: Främja en företagsomfattande cybersäkerhetskultur, på samma sätt som en stark livsmedelssäkerhetskultur.
Personlig utveckling: Styrelseledamöter och chefer bör aktivt förbättra sin förståelse för cyberrisker och bästa praxis.
Lagen är tydlig: kompetens och godkännande inom cybersäkerhet kan inte enbart
delegeras till IT-avdelningen. Ledningen måste vara aktivt involverad och
informerad. Detta kräver ett proaktivt förhållningssätt från toppen av ert
livsmedelsföretag.
Econs kommentar:Lag och operativ verklighet
Tillsyn: Sanktioner och konsekvenser
Livsmedelsverket har betydande tillsynsbefogenheter för att säkerställa efterlevnaden av lagen (124/2025).
Sanktionsavgift
7M€ eller 1,4 % av den globala omsättningen, beroende på vilket som är högre
Tillsynstyp
Riskbaserad, efterhandsgranskning
Tillsynsfilosofi och sanktionskontext
Även om de maximala administrativa sanktionsavgifterna är betydande (7 miljoner euro eller 1,4 % av den globala omsättningen), betonar Livsmedelsverkets tillsynssätt:
Proportionalitet: Sanktionerna står i proportion till företagets storlek och överträdelsens allvar.
Beaktande av god tro: Myndigheten tar hänsyn till företagets egna initiativ för att åtgärda brister och dess samarbetsvilja.
Stegvis tillsyn: Varningar och uppmaningar att förbättra verksamheten föregår i allmänhet ekonomiska sanktioner.
Branschförståelse: Erkännande av livsmedelssektorns operativa begränsningar och äldre system.
Detta samarbetsinriktade tillvägagångssätt gäller dock endast företag som aktivt strävar efter regelefterlevnad. Avsiktlig försummelse eller underlåtenhet att svara på myndighetens kommunikation kommer att utlösa tillsynsåtgärder.
Överträdelser som kan leda till sanktioner:
Underlåtenhet att vidta tillräckliga åtgärder för riskhantering inom cybersäkerhet inom alla 12 kärnområden.
Underlåtenhet att anmäla betydande incidenter till Livsmedelsverket inom tidsfristerna.
Underlåtenhet att registrera sig hos Livsmedelsverket eller att lämna in uppdaterad information.
Avsiktlig eller grovt oaktsam underlåtenhet att följa bindande förelägganden från tillsynsmyndigheten.
Företag inom livsmedelssektorn klassificeras i direktivet generellt som viktiga entiteter. Dessa omfattas i första hand av efterhandstillsyn, till exempel i samband med anmälan av en betydande incident eller underlåtenhet att anmäla en sådan, och inte av kontinuerlig proaktiv revision som väsentliga entiteter.
Om Livsmedelsverket i samband med annan tillsyn har anledning att misstänka att skyldigheterna i cybersäkerhetslagen har försummats, kan detta dock utlösa tillsynsåtgärder.
Även om sanktionsavgifterna är betydande, kan för livsmedelsföretag
driftsstörningar, produktionsförluster, förstörda varor, avbrott i
leveranskedjan och skadat anseende som ett resultat av en lyckad cyberattack
(på grund av otillräcklig säkerhet) ofta vara mycket dyrare än någon
regulatorisk sanktion. Regelefterlevnad är i grunden affärsresiliens.
Econs perspektiv:Helhetsbilden av affärspåverkan
Tillgängliga verktyg och resurser
Myndighetsresurser
Livsmedelsverket - Som tillsynsmyndighet för livsmedelssektorn erbjuder de specifik vägledning för implementeringen av NIS2:
Detaljerad rekommendation (161 sidor): "Rekommendation till NIS-övervakande myndigheter om åtgärder för riskhantering för cybersäkerhet" - Detta dokument är ett nödvändigt verktyg och ger konkreta exempel och verifieringsmetoder för den praktiska implementeringen av alla 12 riskhanteringsområden.
Cybermätaren: Ett gratis självbedömningsverktyg för att bedöma den grundläggande cybersäkerhetsnivån och få förbättringsrekommendationer.
Incidentanmälningsportal: En central portal för NIS2-incidentanmälningar.
Hotunderrättelser: Regelbundna larm och råd - prenumerera på uppdateringar.
Korsreferenstabell: Traficom erbjuder en korsreferenstabell som kopplar NIS2-kraven till internationellt erkända standarder som ISO 27001, NIST CSF och IEC 62443 - förstå hur befintliga ramverk motsvarar NIS2.
Internationella standarder och ramverk
ISO/IEC 27001 & 27002: Internationellt erkända standarder för ledningssystem för informationssäkerhet (ISMS) och säkerhetskontroller. Erbjuder ett heltäckande ramverk som väl motsvarar NIS2-kraven.
NIST Cybersecurity Framework (CSF): Ett riskbaserat ramverk utvecklat av US National Institute of Standards and Technology. Används i stor utsträckning globalt och refereras till i Traficoms vägledning.
IEC 62443-serien: Standarder för säkerhet i industriella automations- och styrsystem (IACS). Mycket relevant för livsmedelsproducenter med automatiserade produktionslinjer och OT-nätverk.
CIS Controls: En prioriterad uppsättning åtgärder mot de vanligaste cyberattackerna. Ger praktisk, funktionell vägledning för grundläggande säkerhet.
Slutlig checklista för implementering
Stegvis implementeringsplan
Omedelbara åtgärder (nästa 7 dagar)
Bekräfta tillämpningsområdet och utse en intern ansvarig för NIS2-efterlevnad.
Registrera er hos Livsmedelsverket via Ilppa-tjänsten.
Ladda ner och granska Traficoms 161-sidiga rekommendationsdokument.
Bedöm er nuvarande cybersäkerhetsnivå med Cybersäkerhetscentrets Cybermätare-verktyg.
Åtgärder på kort sikt (nästa 30 dagar)
Genomför en omfattande riskbedömning som täcker alla 12 obligatoriska områden.
Dokumentera befintliga säkerhetsåtgärder och identifiera brister.
Att framgångsrikt följa Finlands cybersäkerhetslag (124/2025) är mer än bara
en regulatorisk börda för livsmedelssektorn. Det är en investering i
affärskontinuitet, motståndskraft och förtroende i en digitaliserad
verksamhetsmiljö. Ansvaret för att leda och lyckas med denna strategiska
förändring ligger ytterst hos ert företags ledning.
6. Personalsäkerhet och utbildning i cybersäkerhet
Genomför utbildningsprogram som ökar cybersäkerhetsmedvetenheten för alla, inklusive ledning och produktionspersonal. Utbilda i att känna igen cyberhot som påverkar livsmedelssäkerheten.
🔑
7. Åtkomsthantering och autentisering
Implementera robust åtkomsthantering och använd starka autentiseringsmetoder, såsom multifaktorautentisering (MFA), särskilt för fjärråtkomst och administratörskonton.
🔐
8. Riktlinjer och förfaranden för användning av krypteringsmetoder
Definiera när och hur ni använder kryptering för att skydda känslig information (t.ex. recept, kunddata, produktutveckling) både i vila och under överföring.
🚨
9. Upptäckande och hantering av incidenter i syfte att återställa säkerheten och driftsäkerheten
Utveckla förmågan att snabbt upptäcka cyberincidenter. Integrera detta i befintliga incidenthanteringsrutiner för livsmedelssäkerhet och bedöm incidenternas inverkan på kvaliteten.
💾
10. Säkerhetskopiering, katastrofhantering, krishantering och annan hantering av verksamhetens kontinuitet
Säkerställ att ni kan upprätthålla eller snabbt återställa centrala funktioner efter en betydande cyberincident. Prioritera återställning av livsmedelssäkerhets- och kvalitetssystem.
🛡️
11. Grundläggande informationssäkerhetsrutiner för att säkerställa säkerheten i datakommunikationen, maskinvaran, programvaran och datamaterialet
Upprätthåll grundläggande cyberhygien, såsom systemhärdning, patchhantering och skydd mot skadlig kod, som också är kompatibla med industriella automationsmiljöer (OT).
🏢
12. Åtgärder för att skydda kommunikationsnätens och informationssystemens fysiska miljö och säkerställa säkerheten i lokalerna
Skydda den fysiska miljön där era kritiska IT- och OT-system finns, inklusive styrskåp vid produktionslinjen och serverrum.
Alla 12 områden dokumenterade och implementerade.
Mitten av 2026
Möjlig utnämning av nya kritiska aktörer
Enligt CER-direktivet.
👤
6. Granskning av åtkomsthantering
Granska regelbundet vem som har åtkomst till vilka system och data. Ta bort åtkomst för tidigare anställda omedelbart efter att de slutat. Begränsa administratörsrättigheter strikt till dem som behöver dem för sina arbetsuppgifter.
📋
7. Grundläggande resursinventering
Skapa och underhåll en förteckning över all er IT- och OT-utrustning (servrar, arbetsstationer, PLC:er, nätverksutrustning) och centrala programvaruapplikationer. Markera vilka system som är kritiska för er livsmedelsverksamhet.
📝
8. Enkla säkerhetspolicyer
Utveckla och kommunicera grundläggande, lättförståeliga säkerhetsregler för anställda. Behandla ämnen som godtagbar användning av företagets IT, användning av personliga enheter (BYOD) om tillåtet, e-postsäkerhet och datahantering.
Följer ni upp den cybersäkerhetsutbildning som ges till personalen (inklusive ledningen)?
Är cybersäkerhetsmedvetenhet en del av introduktionen för nyanställda?
Utveckla ett ramverk för en handlingsmodell för riskhantering inom cybersäkerhet.
Planera cybersäkerhetsutbildning för ledningen och ett medvetenhetsprogram.
Åtgärder för den kritiska tidsfristen (senast 8.7.2025)
Slutför och dokumentera en heltäckande handlingsmodell för riskhantering inom cybersäkerhet.
Inhämta godkännande från styrelse/VD för cybersäkerhetsåtgärderna.
Implementera proportionerliga säkerhetskontroller baserade på riskbedömningen.
Upprätta rutiner för incidentdetektering och rapportering.
Utbilda personalen i deras cybersäkerhetsansvar och incidentrapportering.
Kontinuerlig efterlevnad
Regelbunden granskning och uppdatering av handlingsmodellen för riskhantering.
Kontinuerlig övervakning och förbättring av säkerhetsåtgärder.
Årlig cybersäkerhetsutbildning för all personal, inklusive ledningen.
Regelbunden testning av incidenthanterings- och affärskontinuitetsrutiner.
Redo att påskynda er verksamhet inom livsmedels- och handelssektorn?
