<img height="1" width="1" style="display: none" src="https://www.facebook.com/tr?id=2415267652073743&amp;ev=PageView&amp;noscript=1">
Meny

Artikel

NIS2 - behöver vi agera?

Dizparc Secured , Februari 2024

kollegor samtalar framför dator

NIS2 är EU-direktivet som följer upp och utökar det tidigare NIS-direktivet. Vad är NIS2 och hur vet du om du omfattas av direktivet, samt vad behöver man då i så fall göra som verksamhet? Vi reder ut!

NIS2-direktivet (Network and Information Systems) är den EU-omfattande lagstiftningen för cybersäkerhet. NIS ”1” infördes av EU redan 2016 för att definiera krav på säkerhet för ”nätverk och informationssystem” i organisationer som levererar kritiska tjänster till samhället. NIS ligger till grund för det uppdaterade direktivet, NIS2. NIS2-direktivet antogs 2022 och EU’s medlemsländer har fram till oktober 2024 på sig att implementera det nya direktivet. I Sverige så pågår just nu en utredning för att anpassa direktivet till svensk lagstiftning som skall redovisas senast 23 februari 2023.

Nytt i NIS2 är dels förändringar i cybersäkerhetskraven som ställs på omfattade verksamheter, men också vilka verksamheter som faktiskt omfattas. Här har det skett en utökning där fler verksamheter nu omfattas av NIS2.

Vilka är målen för NIS2?

NIS2 utgör ett viktigt fundament för EU’s cybersäkerhet. EU har definierat mål för vad direktivet förväntas uppnå, bland annat:

  • Öka nivån av cybermotståndskraft för ett stort antal verksamheter inom EU i sektorer som fyller viktiga funktioner för ekonomin och samhället som helhet.
  • Minska skillnaderna i motståndskraft på nationell nivå för verksamheter som redan omfattas av direktivet
  • Förbättra nivån av gemensam situationsmedvetenhet och den kollektiva förmågan att förbereda och respondera.

Vilka omfattas av NIS2?

NIS2-direktivet skiljer mellan ”väsentliga entiteter” och ”viktiga enheter”. Den stora skillnaden mellan dessa två är vitespåföljder vid brott samt tillsynskrav. ”Väsentliga entiteter” omfattas av högre vitesbelopp vid brott samt att tillsyn är proaktiv, tillskillnad från ”Viktiga entiteter” som har ett lägre vitesbelopp och där tillsyn endast sker på förekommen anledning och då reaktivt, exempelvis efter en incident.

Energi – leverans, distribution, överföring och försäljning av el, fjärrvärme, gas, olja, värme/kyla, vätgas, laddstationsoperatörer för elbilar

Väsentliga entiteter

Flyg-, järnvägs-, väg- och vattentransporter (inklusive rederier och hamnanläggningar)

Väsentliga entiteter

Bank/finans – kredit, handel, marknad och infrastruktur

Väsentliga entiteter

Hälsa – vårdgivare, EU-referenslaboratorier, forskning och utveckling av medicin, läkemedel, tillverkning av medicintekniska produkter

Väsentliga entiteter

Vatten – dricksvattenleverantörer och avloppsvattenoperatörer

Väsentliga entiteter

Digital infrastruktur och IT-tjänster – DNS, namnregister, förtroendetjänster, datacenter, cloud computing, elektroniska kommunikationstjänster, hanterade tjänster och hanterade säkerhetstjänster

Väsentliga entiteter

Offentlig förvaltning på central och regional nivå

Väsentliga entiteter

Rymd – markbaserade infrastrukturoperatörer

Väsentliga entiteter

Leverantörer av post- och budtjänster

Viktiga entiteter

Avfallshantering

Viktiga entiteter

Kemikalier – produktion och distribution

Viktiga entiteter

Livsmedel – distribution och produktion

Viktiga entiteter

Tillverkare: medicinska/diagnostiska apparater, datorer, elektronik, optik, maskiner, motorfordon, släpvagnar, semitrailers, annan transportutrustning

Viktiga entiteter

Digitala leverantörer – onlinemarknadsplatser, sökmotorer, sociala plattformar

Viktiga entiteter

Forskningsorganisationer

Viktiga entiteter

Understrukna sektorer är nya i NIS2-direktivet.

Vilka är kraven för NIS2?

Man kan säga att det finns två spår gällande kraven som stipuleras i NIS2, legala krav och tekniska krav. De legala kraven för svensk lagstiftning har ännu inte har tagits fram utan det arbetet pågår just nu. De frågor som bland annat kommer besvaras i detta arbete är:

  • Hur kommer tillsyn att utföras?
  • Vem skall utföra tillsyn?
  • Hur skall en organisation bevisa efterlevnad av lagstiftning?
  • Kommer regler att skilja mellan olika organisationsstorlekar?
  • Vilka påföljder kommer att införas för brott mot direktivet?

Gällande den tekniska sidan av kraven så är det lite tydligare, här är en summering av de förväntade kraven:

  • Riskhantering inklusive genomförande av åtgärder. En nyhet kopplat till detta är ledningsansvar. Ledningsorganen måste godkänna riskhanteringsåtgärderna för cybersäkerhet och skall kunna ställas till svars vid bristande efterlevnad.
  • Inventering av hårdvara, mjukvara, tjänster och nätverksutrustning
  • Incidenthantering
  • Ändringshantering
  • Livscykelhantering inklusive upprättande av standardkonfigurationer samt avveckling
  • Logghantering och detektering
  • Nätverkssegmentering
  • Behörighetshantering och förvaltning
  • Säkerhet för endpoints
  • Säkerhetskopiering och återställning
  • Cybersäkerhet för supply chain

Tittar man enskilt på de tekniska delarna så är detta ganska självklara delar i ett strukturerat cybersäkerhetsarbete, oavsett om man berörs av NIS2 eller inte. Dessa krav ligger mycket nära befintliga standarder som finns på marknaden idag, särskilt ISO27001 och NIST Cybersecurity Framework. Arbetar man efter någon av dessa standarder idag så har man ett bra försprång och troligtvis redan ett bra skydd mot cyberhot.

Vad betyder detta i verkligheten?

Att säkerställa efterlevnad enligt NIS2-direktivet innebär att ni arbetar strukturerat med cybersäkerhet. Arbetet skall vara regelbundet och resultatet skall vara förutsägbart. Ett råd från oss på Dizparc är att inte stirra sig blind på själva lagkravet och att ”vi måste vara compliant”, utan se det utifrån cyberhotet. Oavsett om ni berörs av NIS2 eller inte så finns det all anledning att anamma ett strukturerat cybersäkerhetsarbete för att hantera cyberhotet och den risk det medför. Det betyder bland annat att ni bör:

Styrning:

  • Arbeta riskbaserat.

Riskanalyser genomförs regelbundet och strategier för att reducera, mitigera eller eliminera risker tas fram. Detta kräver kontroll över tillgångar, förståelse för verksamheten och dess behov, sårbarheter identifieras, hot bevakas, risker i leverantörsled identifieras m.m.

  • Utarbeta en policy.

Policy för hur hela cybersäkerhetsarbetet skall bedrivas, hur IT-miljön skall designas och förvaltas m.m. Detta blir grunden för att säkerställa förutsägbarheten över tid.

  • Granskning.

Regelbunden granskning mot definierad policy. Hanteras behörigheter i linje med våra krav, utför våra processer enligt definition, har vi dokumenterat avvikelser etc.

  • Incidentrapportering

Rapportering av allvarliga säkerhetsincidenter skall rapporteras till myndigheter.

  • Samarbete

Glöm inte bort att leverantörer till er verksamhet också omfattas i direktivet. Detta kommer innebära att det sker samarbete avseende cybersäkerhet för att säkerställa att ni har ”koll bakåt”.

Tekniskt och operativt:

  • Säkerställa att system och nätverk är härdade enligt definierade standardkonfigurationer
  • Sårbarheter identifieras och hanteras, exempelvis tekniska sårbarheter genom patch management men även operationella sårbarheter genom rutinförändringar
  • Robust behörighetshantering som över tid säkerställer att behörigheter är begränsade till endast nödvändiga
  • Datasäkerhet genom bl.a. kryptering
  • Utbildning och medvetenhet. Alla som nyttjar informationssystem skall utbildas löpande.
  • Ha struktur i förändringshantering och förvaltning
  • Övervaka system för att kunna upptäcka skadlig aktivitet samt agera händelser
  • Plan för incidenthantering
  • Göra backup och öva på återställning
  • Lära er från arbetet och ständigt förbättra ert cybersäkerhetsarbete

Vad kan ni göra idag?

Eftersom vi idag inte har full kontroll på de legala kraven kopplat till svensk anpassning av direktivet så är det svårt att svara på vad man kan göra kopplat till detta. Gällande de tekniska kraven så finns det saker att ta tag i redan idag.

NIS2-lagstiftningen kommer troligen ligga mycket nära ISO27001 och NIST Cybersecurity Framework. Att påbörja ett arbete kopplat till något av dessa två ramverk är en god idé för att komma upp på banan och sätta en övergripande struktur.

  • Genomför en gapanalys av ert nuläge kopplat till något av ramverken
  • Identifiera aktiviteter för att täcka eventuella gap
  • Genomför en riskanalys som prioriteringsunderlag för aktiviteterna, högst risk hanteras först osv.
  • Gör en plan för att hantera identifierade aktiviteter

Hur kan Dizparc Secured hjälpa till?

Vi på Dizparc Secured är vana att hjälpa våra kunder att skapa strategiska cybersäkerhetsplaner. I vårt arbete utgår vi från NIST Cybersecurity Framework för att kartlägga nuläge samt även implementera en långsiktig struktur som säkerställer att en verksamhet kan hantera förändrade hot över tid.

För att komma igång med det strukturerade cybersäkerhetsarbetet och även förbereda för NIS2 har vi ett erbjudande som hjälper er att få koll på nuläge och identifiera åtgärder som behöver genomföras. Vi hjälper er att prioritera åtgärderna för att hantera de största riskerna först.

 

Vill du veta mer?

Fyll i formuläret nedan så tar vi kontakt och bokar ett möte.

Kontakt

christoffer_widjeback

Christoffer Widjeback

Dizparc Secured

Låt oss ta en kaffe

Ta en kontakt så hör vi av oss.