NIS2-direktivet
I december 2022 antog Europarlamentet NIS2 - en uppdaterad version av NIS-direktivet från 2016, med syfte att etablera och upprätthålla en hög cybersäkerhetsnivå för enheter som levererar samhällskritiska och samhällsviktiga tjänster inom EU. NIS2 ställer således krav på att berörda enheter hanterar cybersäkerhetsrelaterade risker i nätverks- och informationssystem genom att etablera en hög generell cybersäkerhetnivå, samt ha procedurer på plats för att snabbt kunna åtgärda och upprätthålla kontinuitet i samband med incidenter och avbrott för de samhällskritiska eller samhällsviktiga tjänsterna.
NIS2 fokuserar på kontinuitet och skydd av de samhällskritiska eller viktiga tjänsterna, men direktivet ställer även krav på att berörda enheter upprätthåller ett systematiskt riskbaserat säkerhetsarbete i hela dess verksamhet.
En annan viktig del i NIS2 är kravställning mot underleverantörer. Dessa måste också upprätthålla en hög nivå på cybersäkerhet, incidenthantering och kontinuitetsplanering, i relation till sin del i leveranskedjan. Utöver det ställer NIS2 även krav på rapportering och samarbete kring incidenter och sårbarheter, både nationellt och inom EU.
I NIS2 delas de berörda enheterna upp i två sektorer; enheter som tillhandahåller samhällskritiska tjänster, respektive samhällsviktiga tjänster. En samhällskritisk tjänst granskas kontinuerligt av myndigheter och berörs av högre straffsatser.
Samhällskritiska tjänster omfattar sektorer:
- Hälso- och sjukvård
- Transport
- Bank- och finansmarknadsinfrastruktur
- Energi
- Dricks- och vattenavloppsvatten
- Digital infrastruktur
- Förvaltning av ITK-tjänster (B2B)
- Offentlig förvaltning
- Rymdindustri
De som berörs som inom ramen för samhällsviktiga tjänster kommer inte granskas kontinuerligt utan främst vid förekomst av incident eller annan allvarlig händelse.
Inom samhällsviktiga tjänster omfattas följande sektorer:
- Tillverkning, produktion och distribution av kemikalier
- Produktion, bearbetning och distribution av livsmedel
- Forskning
- Digitala leverantörer
- Post- och budtjänster
- Avfallshantering
Värt att känna till är även att en organisation kan tillhandahålla tjänster som ingår i flera sektorer. En organisation kan bedriva sjukvård (samhällskritisk) och även ägna sig åt forskning (samhällsviktig) för att ta ett exempel.
Krav
Säkerhetsrisker relaterade till de relevanta tjänsterna ska identifieras, bedömas och hanteras med hjälp av lämpliga säkerhetsåtgärder och kontinuerliga riskuppföljningar.
En plan för rapportering av allvarliga säkerhetsincidenter till nationella myndigheten för cybersäkerhet upprättas, liksom planer för snabb utredning, hantering och återställning i samband med incidenter.
Kontinuitetsplaner (BCP) för att säkerställa fortsatt leverans i händelse av incident eller avbrott ska finnas på plats för de relevanta tjänsterna. Dessa planer ska även omfatta återställningsplaner (DRP) för kritisk infrastruktur och system.
Lämpliga tekniska och organisatoriska åtgärder baserade på riskbedömning ska implementeras och omfatta hela verksamheten. Detta krav motsvarar implementation av ett ledningssystem för lnformationssäkerhet, LIS (eng. ISMS, Information Security Management System)
Berörda verksamheter ska säkerställa säkerhet i hela leveranskedjan genom hantering av säkerhetsaspekter i relationen mellan verksamheten och dess leverantörer och tjänsteleverantörer.
Samarbete krävs mellan berörda enheter, nationella myndigheter för cybersäkerhet och andra tjänsteleverantörer i syfte att utbyta information om hot och sårbarheter samt för att koordinera insatser kring större incidenter.
Vår metodik
Vi gör en översiktlig analys av verksamhetens mognadsgrad inom informationssäkerhet och hjälper er att identifiera eventuella förbättringsbehov. Vi hjälper er även att identifiera, definiera och dokumentera era samhällskritiska eller samhällsviktiga tjänster. Är ni en del av leverantörskedjan hjälper vi er istället att identifiera, definiera och dokumentera scopet för de kritiska tjänster eller produkter ni levererar till era NIS2-kunder.
Behöver ni hjälp med att skapa ett ISMS som överensstämmer med NIS2, uppdatera och anpassa ert befintliga ISMS, eller bara få verifierat att ert ISMS uppfyller kraven i NIS2 med hjälp av en audit? I Fas 1 har vi identifierat era behov, och i Fas 2 hjälper vi er att åtgärda dessa.
I den här fasen säkerställer vi att scopet (ekosystemet) för era NIS2-relevanta tjänster uppfyller kraven i direktivet. Vi tittar på riskbedömningar, säkerhetsåtgärder, kontinuitetsplaner (BCP), återställningsplaner (DRP), utvärdering av kritiska underleverantörer och incidenthanteringsprocessen. Inför granskning av tillsynsmyndigheter ser vi även till att dokumentation finns på plats, eller i det fall att ni är en del av leveranskedjan; dokumentation att uppvisa för kund.
Lösningar
Genom att arbeta med internationella standarder kan du på ett effektivt säkerställa att stora delar av din IT-miljö är rustade för NIS2-direktivet. Ett av de accepterade ramverken är ISO 27001, som bland annat innefattar kartläggning, riskanalys och kontinuitetshantering.
För att kunna hantera och rapportera incidenter måste du först ha kapacitet att upptäcka dem. Genom övervakning av trafik och beteendemönster i verksamhetskritiska nät och systemloggar kan avvikelser identifieras snabbt och i bästa fall åtgärdas redan innan de bli regelrätta incidenter.
Ett grundläggande krav NIS2-direktivet ställer är att etablera och upprätthålla en hög säkerhetsnivå i både system och fysiska anläggningar. Genom att låta våra experter säkerhetstesta dina system kan du identifiera säkerhetsbrister, och därmed minska risken för incidenter.
mer läsning
Compliance • Artikel
I den här artikelserien om NIS-direktivet går vi igenom vad regelverket innebär, hur olika organisationer påverkas samt vad som krävs för att efterleva det.
Compliance • Artikel
I andra delen av vår artikelserie om NIS går vi igenom hur samhällsviktiga leverantörer påverkas av direktivet.
Compliance • Artikel
I den här delen av artikelserien om NIS tittar vi närmare på hur leverantörer av digitala tjänster påverkas av direktivet.
Compliance • Artikel
I den här delen av artikelserien om NIS tar vi upp fem åtgärder som hjälper din organisation att höja den allmänna säkerhetsnivån och lättare efterleva direktivet.
Vi erbjuder flera kontaktvägar och återkopplar så snart som möjligt. Har du känslig information ber vi dig att maila krypterat.
08-545 333 00
Vi svarar dygnet runt
info@sentor.se
För generella förfrågningar
soc@sentorsecurity.com
Använd vår PGP-nyckel
