NIS2: Vägen till ett starkare informationssäkerhetsarbete
Nätverks- och informationssäkerhetsdirektiv 2 (NIS2), eller cybersäkerhetslagen som den kommer att heta när den implementeras som lag i Sverige, är den senaste versionen av EU:s regelverk för cybersäkerhet och är alltså en uppdatering av unionens tidigare cybersäkerhetsregler. Som organisation är det därför viktigt att förstå dessa krav och hur de skulle kunna användas som ett strategiskt verktyg för att stärka arbetet kring cybersäkerhet i just din organisation.
I denna artikel kommer vi att utforska några av de centrala aspekterna av NIS2 och även försöka ge några praktiska råd för implementering.
för 6 månader sedan
Skillnaden mellan NIS och NIS2?
NIS2 är en mer omfattande och striktare version av NIS med tydligare krav och högre potentiella sanktioner vid bristande efterlevnad. Kraven innefattar bland annat:
- Riskanalyser: Tydligare krav på att organisationer måste identifiera och hantera cyberrisker på ett strukturerat sätt.
- Ledningens deltagande: Ökat krav på ledningen att delta i verksamhetens cybersäkerhetsarbete
- Högre sanktioner: NIS2 specificerar tydligare sanktionsavgifter och du riskerar böter på upp till 2 miljoner euro eller 2% av den globala årsomsättningen om du inte efterlever NIS2-kraven.
- Omfattning: NIS2 omfattar fler sektorer jämfört med NIS och man skiljer nu också på ”väsentliga” sektorer och ”viktiga” sektorer. Den största skillnaden mellan de olika sektorerna är att tillsynsmyndigheterna kommer att bedriva mer proaktiv tillsyn för väsentliga sektorer samt att de troligen också drabbas av något högre ekonomiska sanktioner (Vad som räknas till vilken kategori kan du läsa längst ner i artikeln).
Vart ska man börja?
Genom att följa några praktiska råd kan din organisation förbereda sig för NIS2 och på samma gång stärka er cybersäkerhet. Används regelverket som det är tänkt kan du vända NIS2 från ett krav till en katalysator för att öka motståndskraften mot cyberhot. Nedan följer exempel på några av de aktiviteter som din organisation kan behöva ta.
Identifiera din verksamhetens risker och kritiska processer
När man identifierat att företaget omfattas av det kommande lagkravet är det en bra start att börja med att identifiera sina verksamhetskritiska tjänster, processer och tillgångar som omfattas av direktivet. En del i det arbetet kan vara att genomföra en Business Impact Assessment, eller en BIA, för att bedöma hur ett avbrott eller ett plötsligt avbrott i de kritiska processerna på grund av en oförutsedd olycka, nödsituation eller katastrof skulle påverka verksamheten.
Grundliga riskanalyser är sedan ett viktigt steg för att förstå organisationens sårbarheter och hot. Här är några praktiska tips:
Praktiska tips inför din riskanalys
Identifiera tillgångar och sårbarheter:
Gör en inventering av organisationens processer, nätverk, system, applikationer och data. Identifiera potentiella sårbarheter, såsom osäkra konfigurationer, föråldrade programvaror och bristande säkerhetsåtgärder.
Bedöm hot:
- Utvärdera vilka hot organisationen kan möta. Det kan inkludera allt från externa attacker till interna fel och oavsiktliga händelser.
Bedöm konsekvenser:
- Förstå vilka konsekvenser en sårbarhet eller ett hot kan ha för organisationen. Det kan vara ekonomiska förluster, förtroendeförlust eller störningar i verksamheten.
Prioritera åtgärder:
- Baserat på riskanalysen, prioritera de mest kritiska sårbarheterna och hoten. Fokusera på de områden som har högst påverkan och sannolikhet.
Incident och leverantörshantering
- Implementera de tekniska och organisatoriska åtgärder som är nödvändiga för att uppfylla NIS2-kraven. Dessa inkluderar bland annat:
- Incidenthantering: Skapa en tydlig process för att hantera cybersäkerhetsincidenter och rapportera dem enligt NIS2.
- Driftskontinuitet: Se till att din organisation har en plan för att fortsätta verksamheten vid eventuella störningar (katastrofåterställning och backuphantering).
- Säkerhet i Leveranskedjan: Utvärdera och säkra leverantörskedjan för att minska riskerna.
Utbildning och medvetenhet
- Personalutbildning: Se till att alla medarbetare, inklusive ledningen, förstår NIS2 och sitt ansvar. Utbilda dem om cybersäkerhet och incidentrapportering.
- Kommunikation: Informera ledningen och andra avdelningar om NIS2 och dess påverkan på organisationen.
Strategier för hantering av sårbarheter
- Sårbarhetsidentifiering: Genomför regelbundna sårbarhetsskanningar och penetrationstester för att hitta och åtgärda sårbarheter.
- Patchhantering: Se till att alla system hålls uppdaterade med de senaste säkerhetspatcharna.
Kryptering och nyckelhantering
- Kryptering: Implementera kryptering för att skydda känslig information och kommunikation.
- Nyckelhantering: Se till att nycklar hanteras säkert och regelbundet byts ut.
Övervakning och utvärdering
- Loggning: Implementera loggning av händelser och övervakning av nätverkstrafik.
- Utvärdering: Utvärdera regelbundet organisationens efterlevnad och justera åtgärder vid behov.
Vill du veta mer eller behöver hjälp med förberedelser och implementering av kraven för NIS2 i din organisation? Tveka inte att kontakta våra seniora information- och säkerhetsspecialister. Vi finns här för att stödja dig i ditt arbete med NIS2 och andra cybersäkerhetsfrågor.
Väsentliga sektorer
- Energi – leverans, distribution, överföring och försäljning av el, gas, olja, värme/kyla, vätgas, laddstationsoperatörer för elbilar
- Flyg-, järnvägs-, väg- och vattentransporter (inklusive rederier och hamnanläggningar)
- Bank/finans – kredit, handel, marknad och infrastruktur
- Hälsa – vårdgivare, forskningslaboratorier, läkemedel, tillverkning av medicintekniska produkter
- Vatten – dricksvattenleverantörer och avloppsvattenoperatörer
- Digital infrastruktur och IT-tjänster – DNS, namnregister, förtroendetjänster, datacenter, cloud computing, elektroniska kommunikationstjänster, hanterade tjänster och hanterade säkerhetstjänster
- Offentlig förvaltning på central och regional nivå
- Rymd – markbaserade infrastrukturoperatörer
Viktiga sektorer
- Leverantörer av post- och budtjänster
- Avfallshantering
- Kemikalier – produktion och distribution
- Livsmedel – distribution och produktion
- Tillverkare: medicinska/diagnostiska apparater, datorer, elektronik, optik, maskiner, motorfordon, släpvagnar, semitrailers, annan transportutrustning
- Digitala leverantörer – onlinemarknadsplatser, sökmotorer, sociala plattformar
- Forskningsorganisationer