NIS2 - behöver vi agera?
NIS2 är EU-direktivet som följer upp och utökar det tidigare NIS-direktivet. Vad är NIS2 och hur vet du om du omfattas av direktivet, samt vad behöver man då i så fall göra som verksamhet? Vi reder ut!
NIS2-direktivet (Network and Information Systems) är den EU-omfattande lagstiftningen för cybersäkerhet. NIS ”1” infördes av EU redan 2016 för att definiera krav på säkerhet för ”nätverk och informationssystem” i organisationer som levererar kritiska tjänster till samhället. NIS ligger till grund för det uppdaterade direktivet, NIS2. NIS2-direktivet antogs 2022 och EU’s medlemsländer har fram till oktober 2024 på sig att implementera det nya direktivet. I Sverige så pågår just nu en utredning för att anpassa direktivet till svensk lagstiftning som skall redovisas senast 23 februari 2023.
Nytt i NIS2 är dels förändringar i cybersäkerhetskraven som ställs på omfattade verksamheter, men också vilka verksamheter som faktiskt omfattas. Här har det skett en utökning där fler verksamheter nu omfattas av NIS2.
Vilka är målen för NIS2?
NIS2 utgör ett viktigt fundament för EU’s cybersäkerhet. EU har definierat mål för vad direktivet förväntas uppnå, bland annat:
Öka nivån av cybermotståndskraft för ett stort antal verksamheter inom EU i sektorer som fyller viktiga funktioner för ekonomin och samhället som helhet.
Minska skillnaderna i motståndskraft på nationell nivå för verksamheter som redan omfattas av direktivet
Förbättra nivån av gemensam situationsmedvetenhet och den kollektiva förmågan att förbereda och respondera.
Vilka omfattas av NIS2?
NIS2-direktivet skiljer mellan ”väsentliga entiteter” och ”viktiga enheter”. Den stora skillnaden mellan dessa två är vitespåföljder vid brott samt tillsynskrav. ”Väsentliga entiteter” omfattas av högre vitesbelopp vid brott samt att tillsyn är proaktiv, tillskillnad från ”Viktiga entiteter” som har ett lägre vitesbelopp och där tillsyn endast sker på förekommen anledning och då reaktivt, exempelvis efter en incident.
Energi – leverans, distribution, överföring och försäljning av el, fjärrvärme, gas, olja, värme/kyla, vätgas, laddstationsoperatörer för elbilar | Väsentliga entiteter |
Flyg-, järnvägs-, väg- och vattentransporter (inklusive rederier och hamnanläggningar) | Väsentliga entiteter |
Bank/finans – kredit, handel, marknad och infrastruktur | Väsentliga entiteter |
Hälsa – vårdgivare, EU-referenslaboratorier, forskning och utveckling av medicin, läkemedel, tillverkning av medicintekniska produkter | Väsentliga entiteter |
Vatten – dricksvattenleverantörer och avloppsvattenoperatörer | Väsentliga entiteter |
Digital infrastruktur och IT-tjänster – DNS, namnregister, förtroendetjänster, datacenter, cloud computing, elektroniska kommunikationstjänster, hanterade tjänster och hanterade säkerhetstjänster | Väsentliga entiteter |
Offentlig förvaltning på central och regional nivå | Väsentliga entiteter |
Rymd – markbaserade infrastrukturoperatörer | Väsentliga entiteter |
Leverantörer av post- och budtjänster | Viktiga entiteter |
Avfallshantering | Viktiga entiteter |
Kemikalier – produktion och distribution | Viktiga entiteter |
Livsmedel – distribution och produktion | Viktiga entiteter |
Tillverkare: medicinska/diagnostiska apparater, datorer, elektronik, optik, maskiner, motorfordon, släpvagnar, semitrailers, annan transportutrustning | Viktiga entiteter |
Digitala leverantörer – onlinemarknadsplatser, sökmotorer, sociala plattformar | Viktiga entiteter |
Forskningsorganisationer | Viktiga entiteter |
Understrukna sektorer är nya i NIS2-direktivet.
Vilka är kraven för NIS2?
Man kan säga att det finns två spår gällande kraven som stipuleras i NIS2, legala krav och tekniska krav. De legala kraven för svensk lagstiftning har ännu inte har tagits fram utan det arbetet pågår just nu. De frågor som bland annat kommer besvaras i detta arbete är:
Hur kommer tillsyn att utföras?
Vem skall utföra tillsyn?
Hur skall en organisation bevisa efterlevnad av lagstiftning?
Kommer regler att skilja mellan olika organisationsstorlekar?
Vilka påföljder kommer att införas för brott mot direktivet?
Gällande den tekniska sidan av kraven så är det lite tydligare, här är en summering av de förväntade kraven:
Riskhantering inklusive genomförande av åtgärder. En nyhet kopplat till detta är ledningsansvar. Ledningsorganen måste godkänna riskhanteringsåtgärderna för cybersäkerhet och skall kunna ställas till svars vid bristande efterlevnad.
Inventering av hårdvara, mjukvara, tjänster och nätverksutrustning
Incidenthantering
Ändringshantering
Livscykelhantering inklusive upprättande av standardkonfigurationer samt avveckling
Logghantering och detektering
Nätverkssegmentering
Behörighetshantering och förvaltning
Säkerhet för endpoints
Säkerhetskopiering och återställning
Cybersäkerhet för supply chain
Tittar man enskilt på de tekniska delarna så är detta ganska självklara delar i ett strukturerat cybersäkerhetsarbete, oavsett om man berörs av NIS2 eller inte. Dessa krav ligger mycket nära befintliga standarder som finns på marknaden idag, särskilt ISO27001 och NIST Cybersecurity Framework. Arbetar man efter någon av dessa standarder idag så har man ett bra försprång och troligtvis redan ett bra skydd mot cyberhot.
Vad betyder detta i verkligheten?
Att säkerställa efterlevnad enligt NIS2-direktivet innebär att ni arbetar strukturerat med cybersäkerhet. Arbetet skall vara regelbundet och resultatet skall vara förutsägbart. Ett råd från oss på Dizparc är att inte stirra sig blind på själva lagkravet och att ”vi måste vara compliant”, utan se det utifrån cyberhotet. Oavsett om ni berörs av NIS2 eller inte så finns det all anledning att anamma ett strukturerat cybersäkerhetsarbete för att hantera cyberhotet och den risk det medför. Det betyder bland annat att ni bör:
Styrning:
Arbeta riskbaserat.
Riskanalyser genomförs regelbundet och strategier för att reducera, mitigera eller eliminera risker tas fram. Detta kräver kontroll över tillgångar, förståelse för verksamheten och dess behov, sårbarheter identifieras, hot bevakas, risker i leverantörsled identifieras m.m.
Utarbeta en policy.
Policy för hur hela cybersäkerhetsarbetet skall bedrivas, hur IT-miljön skall designas och förvaltas m.m. Detta blir grunden för att säkerställa förutsägbarheten över tid.
Granskning.
Regelbunden granskning mot definierad policy. Hanteras behörigheter i linje med våra krav, utför våra processer enligt definition, har vi dokumenterat avvikelser etc.
Incidentrapportering
Rapportering av allvarliga säkerhetsincidenter skall rapporteras till myndigheter.
Samarbete
Glöm inte bort att leverantörer till er verksamhet också omfattas i direktivet. Detta kommer innebära att det sker samarbete avseende cybersäkerhet för att säkerställa att ni har ”koll bakåt”.
Tekniskt och operativt:
Säkerställa att system och nätverk är härdade enligt definierade standardkonfigurationer
Sårbarheter identifieras och hanteras, exempelvis tekniska sårbarheter genom patch management men även operationella sårbarheter genom rutinförändringar
Robust behörighetshantering som över tid säkerställer att behörigheter är begränsade till endast nödvändiga
Datasäkerhet genom bl.a. kryptering
Utbildning och medvetenhet. Alla som nyttjar informationssystem skall utbildas löpande.
Ha struktur i förändringshantering och förvaltning
Övervaka system för att kunna upptäcka skadlig aktivitet samt agera händelser
Plan för incidenthantering
Göra backup och öva på återställning
Lära er från arbetet och ständigt förbättra ert cybersäkerhetsarbete
Vad kan ni göra idag?
Eftersom vi idag inte har full kontroll på de legala kraven kopplat till svensk anpassning av direktivet så är det svårt att svara på vad man kan göra kopplat till detta. Gällande de tekniska kraven så finns det saker att ta tag i redan idag.
NIS2-lagstiftningen kommer troligen ligga mycket nära ISO27001 och NIST Cybersecurity Framework. Att påbörja ett arbete kopplat till något av dessa två ramverk är en god idé för att komma upp på banan och sätta en övergripande struktur.
Genomför en gapanalys av ert nuläge kopplat till något av ramverken
Identifiera aktiviteter för att täcka eventuella gap
Genomför en riskanalys som prioriteringsunderlag för aktiviteterna, högst risk hanteras först osv.
Gör en plan för att hantera identifierade aktiviteter
Hur kan Dizparc hjälpa till?
Dizparcs experter är vana vid att hjälpa våra kunder att skapa strategiska cybersäkerhetsplaner. Vi utgår från NIST Cybersecurity Framework för att kartlägga nuläge samt även implementera en långsiktig struktur som säkerställer att en verksamhet kan hantera förändrade hot över tid.
För att komma igång med det strukturerade cybersäkerhetsarbetet och även förbereda för NIS2 har vi ett erbjudande som hjälper er att få koll på nuläge och identifiera åtgärder som behöver genomföras. Vi hjälper er att prioritera åtgärderna för att hantera de största riskerna först.
Vill du veta mer?
Christoffer Widjeback
Dizparc Karlstad
