I dagens digitaliserade samhälle är informationssäkerhet en viktig aspekt, inte minst för samhällsviktiga organisationer. De nya kraven från NIS2 är en utmaning för många. Det är en omarbetning av det redan existerande NIS-direktivet – som ställer krav på nätverks- och informationssäkerhet. Det tillämpas för alla EU:s medlemsländer och skall vara införlivat hösten 2024. Främst berör NIS2 policyer, processer och metoder för säkerhet. Syftet är att höja och effektivisera skyddsnivån och cyberresiliens (motståndskraft mot angrepp) för samhällskritisk infrastruktur.
Det här innebär att myndigheter och företag kommer att behöva arbeta systematiskt och riskbaserat med sin information, få kontroll över sin data och kunna rapportera eventuella incidenter. Det kommer krävas en allriskinsats av sektorerna som omfattas av NIS och det blir mycket viktigt att bedöma samtliga delar av verksamheten för att utforma proportionerliga åtgärder.
EU har infört ett nytt direktiv – NIS2
NIS2 står för "Network and Information Systems Directive 2" och är en uppdatering av det tidigare NIS-direktivet. EU:s medlemsländer har fram till oktober 2024 att implementera det nya direktivet kring nätverks- och informationssäkerhet. Det nya direktivet innebär att det sker en del viktiga förändringar inom cybersäkerhet. Exempelvis kommer tillämpningskraven stärkas och sanktioner kommer tillämpas i hela EU mot företag och organisationer som inte följer NIS2.
Det ursprungliga NIS-direktivet innehöll en process som innebar regelbunden granskning av det egna innehållet. I takt med att digitaliseringen går framåt har det upptäckts brister i direktivet och NIS2 innehåller därför aspekter som åtgärdar brister i det ursprungliga direktivet.
Hur påverkas företag av NIS2?
Varje verksamhet som berörs av NIS2 kommer att behöva ha en välorganiserad incidenthantering, ett strukturerat förhållningssätt till riskhantering och en cybersäkerhetsansvarig på ledningsnivå. Det betyder att företag som omfattas av direktivet har höga krav ställda mot sig. Det innebär bland annat att de måste vidta lämpliga tekniska- och organisatoriska åtgärder för att säkerställa att de håller en hög nivå av informationssäkerhet samt hantering av cybersäkerhetsrisker. De måste också rapportera allvarliga incidenter till myndigheterna och samarbeta med andra organisationer för att hantera incidenter som påverkar samhällsviktiga tjänster.
I NIS2 direktivet finns även skärpta tillsynsåtgärder. Företag som inte följer dessa riskerar böter på upp till 10 MSEK eller 2% av den totala globala omsättningen. Dessutom kan styrande organ eller andra i ledande positioner hållas personligt ansvariga för överträdelser.
Allriskinsats enligt NIS2
När man tittar närmre på de skärpta tillsynsåtgärder som finns så innebär det att all risk som finns för verksamheten måste bedömas. Här är några punkter som är av olika vikt för olika verksamheter.- Strategi för riskanalys
- Incidenthantering
- Driftskontinuitet
- Säkerhet i leveranskedjan
- Säkerhet vid förvärv, utveckling och underhåll av nätverks- och informationssystem
- Utbildning och cyberhygien
- Kryptografi
- Personalsäkerhet och åtkomstkontroll
- MFA (Multi Factor Authentication)
NIS2 och säkerhetsskyddslagen
Säkerhetsskyddslagen avser skydd av verksamhet eller information som kan ha betydelse för Sveriges säkerhet. För att falla under säkerhetsskyddslagen ska man ha verksamhet eller behandla information som faller inom ramen för säkerhetsskydd och det kan gälla både nätverk, informationssystem och andra delar av verksamheten.
NIS-direktivet ställer krav kopplat till de nätverk och informationssystem som en verksamhet är beroende av för att leverera samhällsviktiga eller digitala tjänster. Många organisationer kan alltså beröras av båda regleringarna, men de delar som omfattas av säkerhetsskydd är undantagna från NIS-direktivet.
Sammanfattningsvis kan man säga att NIS 2-direktivet fokuserar på cybersäkerhet för samhällsviktiga och digitala tjänster inom EU, medan säkerhetsskyddslagen har en bredare och mer övergripande inriktning mot att skydda Sveriges nationella säkerhet och strategiska intressen.
Vilka åtgärder krävs?
Vi ställde frågan till vår Säkerhetsskyddschef Åke Ekerbring och han sammanfattar några svar nedan:
- Här gäller det att identifiera sina skyddsvärden så att man har en god bild över vad som är mest skyddsvärt. Vad gäller NIS 2-direktivet avses som beskrivs ovan, informationssäkerhet i olika system, och skyddet mot intrång, cybersäkerhet och cyberresiliens inom olika samhällsfunktioner eller leverantörer till dessa. När det gäller säkerhetsskyddslagen så omfattar den både statlig och privat verksamhet som bedriver verksamhet som är av betydelse för Sveriges säkerhet. Här är det synnerligen viktigt att genomföra en säkerhetsskyddsanalys för att identifiera den mest skyddsvärda verksamheten vad avser informationssäkerhet, fysisk säkerhet och personalsäkerhet.
Åke Ekerbring Head of Security, IT-Total
Svenska verksamheter och företag står inför en förändrad hotbild och utökade krav när det gäller cybersäkerhet. Att bygga säkra system och motståndskraft emot sårbarheter och nya attackvektorer är mer aktuellt än någonsin. IT-säkerhet handlar inte enbart om teknik och är inte längre en fråga bara för IT-avdelningen . Det handlar om människor, processer och teknik och idag är digitala risker och hot en fråga för ledningen.
Vad kan IT-Total hjälpa till med?
Behöver du rådgivning kring hur du bör gå tillväga för att vara compliant med NIS2 samt göra en cybersäkerhetsgranskning så kontakta oss så hjälper vi dig.
En Cyber Security Assessment (senare kallad CSA) eller en cybersäkerhetsgranskning, är en process som utvärderar sårbarheter och hot som en verksamhet står inför. Det för att ge en tydlig bild av de identifierade riskerna och den potentiella skada de kan orsaka.
IT-Totals Cyber Security Assessment erbjuder specialanpassade tjänster för att hjälpa organisationer att utvärdera, skapa och förbättra sina processer, arkitektur och strategi kring säkerhet. En CSA är olika omfattande beroende på behov.
CSA:n genomförs av IT-Totals säkerhetsexperter som kartlägger och föreslår på handlingsplan för att åtgärda identifierade risker. Arbetet resulterar i en rapport där säkerhetsrisken i ett antal nyckelområde bedöms med en skala från 1 till 5 med rekommendationer för varje område där risken är högre än 2.
Målet är att hjälpa organisationer förbättra sina processer, sin arkitektur och deras strategi kring cybersäkerhet.
Tillsammans gör vi Sverige IT-tryggare!
Ett företag i taget.
För mer information kontakta:
Åke Ekerbring, Head of Security, IT-Total
Mail: ake.ekerbring@it-total.se
Tel: +46 76-777 79 28