Vad är NIS2-direktivet?
NIS är en förkortning av ”Network and Information Systems Security Directive”, det vill säga ”direktiv för säkerhet i nätverk och informationssystem”. NIS-direktivet ställer krav på informationssäkerheten i offentliga it-system inom EU för att skydda nätverk och informationssystem som är avgörande för samhällets funktion genom att införa åtgärder för att hantera risker och incidenter.
Direktivet har ett tydligt riskfokus och stärker kraven på cybersäkerhet för samhällsviktiga och relevanta verksamheter och inför sanktionsavgifter för dem som inte uppfyller dessa krav.
För att leva upp till NIS2 krävs ett omfattande arbete kring it- och informationssäkerhet. De flesta krav uppfylls genom att arbeta med ett ledningssystem mot en certifiering i informationssäkerhet (ISO 27001). För små och mellanstora företag och organisationer är en certifiering enligt SSF 1101 Cybersäkerhet BAS en bra grund för de krav som införandet av NIS2-direktivet ställer.
Exempel på säkerhetsåtgärder som krävs enligt NIS2
Nedan följer några av de säkerhetsåtgärder som kommer krävas:
- Autentisering
- Behörighets- och accesskontroll
- Cyberhygien och cybersäkerhetsutbildning
- Incidenthantering
- Kontinuitetsplanering och krishantering
- Policy och processer för kryptering
- Riskhantering och säkerhetspolicy
- Risk Management policy och processer
- Säkra leverantörskedjan
- Säkra nätverks- & Informationssystem (anskaffning, utveckling, underhåll, sårbarhet och sekretess)
Exempel på branscher som berörs av NIS2-direktivet
NIS2-direktivet omfattar olika sektorer och branscher som anses vara av betydelse för samhällets kritiska infrastruktur och digitala nätverks- och informationstjänster. Dessa branscher är ofta avgörande för ekonomisk och samhällelig funktion samt nationell säkerhet. Exempel på sådana branscher inkluderar:
- Energisektorn, inklusive elproduktion, distribution och nätverk.
- Transportsektorn, såsom flygtrafik, järnvägar, sjöfart och vägtrafik.
- Bank- och finanssektorn, inklusive betalningstjänster och värdepappershandel.
- Hälso- och sjukvårdssektorn, där datasystem används för patientjournaler och medicinska tjänster.
- Digitala tjänsteleverantörer, inklusive molntjänster, e-handel och sociala medieplattformar.
- Vattenförsörjning och avloppshantering.
- Offentlig förvaltning och myndigheter, där kritiska IT-system används för att stödja regeringens funktioner och tjänster till medborgarna.
- Livsmedels- och jordbrukssektorn, särskilt när det gäller livsmedelssäkerhet och distribution av livsmedel.
- Kemikalieindustrin och andra industrier med potentiellt farliga processer.
- Digitala tjänster för allmänheten, såsom e-posttjänster, sökmotorer och digitala plattformar för kommunikation.
Dessa branscher och sektorer omfattas av NIS2-direktivet för att säkerställa att deras digitala infrastruktur gällande nätverks- och informationssystem skyddas mot cyberhot. Direktivet ställer krav på förmåga kring motståndskraft mot eventuella störningar och att attacker kan hanteras på ett effektivt sätt för att skydda samhällets funktion och säkerhet.
Vad behöver du som omfattas av NIS2-direktivet göra?
Verksamheter som omfattas av NIS2-direktivet, måste vidta olika åtgärder för att uppfylla kraven i direktivet. Här är några av de viktigaste åtgärderna:
1. Identifiera kritiska tillgångar, tjänster och infrastruktur: Verksamheten måste identifiera vilka av deras tjänster och infrastruktur som är av kritisk betydelse för samhället.
2. Säkra leverantörskedjan: Systematiskt kategorisera och kontrollera leverantörers cybersäkerhetsförmåga och cyberhygien under hela avtalstiden.
3. Genomföra riskbedömningar: Det krävs att man utför riskbedömningar för att identifiera och utvärdera potentiella cyberrisker för de kritiska tjänsterna och infrastrukturen.
4. Upprätta incidenthanteringsplaner: Det är viktigt att ha planer för hur man ska hantera och återhämta sig från incidenter och cyberattacker som kan påverka de kritiska tjänsterna. Planen skall också vara övad och testad för effektivitet.
5. Införa säkerhetsåtgärder: Verksamheten måste införa lämpliga tekniska och organisatoriska säkerhetsåtgärder för att skydda den digitala infrastrukturen och informationssystemen.
6. Rapportera incidenter: Om en allvarlig incident inträffar som påverkar de kritiska tjänsterna, måste verksamheten rapportera detta till behöriga myndigheter enligt NIS2-direktivets rapporteringskrav. En initial rapport skall kunna ges inom 24 timmar.
7. Samarbeta med andra aktörer: Det kan krävas samarbete med andra verksamheter och myndigheter för att hantera gemensamma cybersäkerhetsutmaningar och incidenter.
8. Utbilda personal: Det är viktigt att utbilda personalen i cybersäkerhetsfrågor för att öka medvetenheten och förmågan att förebygga och hantera cyberhot.
Genom att följa dessa åtgärder kan verksamheter som berörs av NIS2-direktivet bidra till att öka den nationella cybersäkerhetsförmågan och skydda den digitala infrastrukturen och vårt samhälles kritiska tjänster från cyberhot och attacker.
SSF 1101 Cybersäkerhet BAS är anpassad för små och mellanstora företag och organisationer. Att certifiera sig enligt normen SSF 1101 Cybersäkerhet BAS skapar en bra grund för de krav som införandet av NIS2-direktivet ställer på ett stort antal företag att visa en grundläggande cybersäkerhet, inte minst kopplat till cyberhygien i leverantörskedjan.
Just nu är vi inne i processen att bli ackrediterade för ISO 27001 och söker företag eller organisation som vill bli certifierade. Kontakta SBSC för mer information.
Läs mer om certifiering av Cybersäkerhet BAS här.
Läs mer om certifiering av ISO 27001 här.