Artikel

Fokusområden för efterlevnad av NIS2

Albin Finne, Director och cybersäkerhetsspecialist på Deloitte, lyfter fram fokusområden för organisationer som kommer att omfattas av det reviderade NIS-direktivet – till exempel företag inom energi-, transport- eller hälso- och sjukvårdssektorn.

En viktig milstolpe nåddes den 10 november 2022 när Europaparlamentet antog NIS2, vilket avslutade lagstiftningsprocessen. Förordningen godkändes sedan av ministerrådet och offentliggjordes i EU:s officiella tidning den 27 december 2022 och trädde därefter i kraft den 16 januari 2023. Svenska aktörer som omfattas har fram till den 18 oktober 2024 på sig att uppfylla kraven.

Växande cyberhot samt nya lagar och regleringar gör att allt fler organisationer förbereder sig för och hantera en cyberkris på ett effektivt sätt. Under de senaste åren har vi noterat att cyberattacker mot kritisk infrastruktur har ökat över hela världen. Dessutom gjorde omställningen till distansarbete under pandemin att nya risker uppstod, vilket bland annat resulterade i en ökning av antalet personer som råkade ut för phishing-attacker. Med den nuvarande geopolitiska situationen har risken att utsättas för cyberattacker ökat ytterligare, särskilt för organisationer som tillhandahåller väsentliga eller viktiga tjänster som kan bli måltavlor under hybridkrigföring.

NIS2 har som mål att stärka organisationers förmåga att hantera nya cyberhot, och dessa förändringar kan leda till en stor omställning med nya arbetssätt för de organisationer som tidigare inte arbetat systematiskt med informationssäkerhet.

Beroende på din organisations mognad och det aktuella omvärldsläget ser vi nedanstående aktiviteter som prioriterade för att skydda kritisk infrastruktur samt efterleva NIS2:

  • Utvärdera om din organisation omfattas av NIS2
  • Bedöm nuvarande nivå av efterlevnad av NIS2-kraven genom att utföra en gapanalys
  • Säkra finansiering och budget för att öka cybersäkerheten
  • Gör en riskbedömning relaterad till nätverk och IT-system
  • Genomför utbildningsinsatser och öka medvetenhet hos ledning och personal
  • Skapa effektiva processer för incidentrapportering och incidenthantering
  • Bedöm säkerheten i leverantörsled och upprätta lämpliga rutiner för att hantera risker kopplade till tredjeparter
  • Utveckla eller förbättra planer för att upprätthålla kontinuitet i verksamheten i händelse av en cyberattack eller annan allvarlig störning

Detta kommer att resultera i en förbättrad cybermognad inom organisationen. Innan myndigheter påbörjar tillsynen av efterlevnad av NIS2-kraven finns det momentum för organisationer att stärka sin cybersäkerhet.

Överväganden för organisationer som omfattas av NIS2

Om din organisation tillhandahåller samhällsviktiga tjänster eller kritisk infrastruktur, kan organisationen klassificeras som en "väsentlig entitet" eller "viktig entitet" enligt NIS2. Följande sektorer omfattas av NIS2 (sektorer i ljusgrönt och mörkblått omfattas redan av NIS1):

"Med den nuvarande geopolitiska situationen har hotet om cyberattacker ökat ytterligare, särskilt för organisationer som tillhandahåller väsentliga eller viktiga tjänster"

- Albin Finne, Director på Deloitte

Sektorer som kommer att regleras

NIS2 ställer krav på din tekniska och organisatoriska struktur samt cyberförmåga. Följande säkerhetskrav ingår i NIS2-direktivet:

(a) strategier för riskanalys och informationssystemens säkerhet
(b) incidenthantering
(c) driftskontinuitet, exempelvis hantering av säkerhetskopiering och katastrofhantering, och krishantering
(d) säkerhet i leveranskedjan, inbegripet säkerhetsaspekter som rör förbindelserna mellan varje entitet och dess direkta leverantörer eller tjänsteleverantörer
(e) säkerhet vid förvärv, utveckling och underhåll av nätverks- och informationssystem, inbegripet hantering av sårbarheter och sårbarhetsinformation
(f) strategier och förfaranden för att bedöma effektiviteten i riskhanteringsåtgärderna för cybersäkerhet
(g) grundläggande praxis för cyberhygien och utbildning i cybersäkerhet
(h) strategier och förfaranden för användning av kryptografi och, när så är lämpligt, kryptering
(i) personalsäkerhet, strategier för åtkomstkontroll och tillgångsförvaltning
(j) användning inom entiteten, när så är lämpligt, av lösningar för multifaktorautentisering eller kontinuerlig autentisering, säkrade röst-, video- och textkommunikationer och säkrade nödkommunikationssystem

Vidare kommer tillsynsmyndigheterna att ha en avgörande och aktiv roll i tillsynen av att dessa åtgärder implementerats på ett ändamålsenligt vis. Vad kan hända om en väsentlig eller viktig enhet inte uppfyller kraven?

  • Sanktionsavgifter på upp till 10 miljoner euro eller 2 % av den totala globala årsomsättningen för väsentliga entiteter
  • Sanktionsavgifter på upp till 7 miljoner euro eller 1,4 % av den totala globala årsomsättningen för viktiga entiteter
  • Företagsledning och styrelse har ansvar för efterlevnad av direktivet, vilket bland annat kan innebära följande sanktioner om kraven inom NIS2 inte efterlevs:
    • Tillfälliga avstängningar av ledande befattningshavare
    • Tillfällig avstängning av tjänster som organisationen tillhandahåller

Nästa steg

För att kunna hantera cyberhot bör styrelse och ledning skapa en (eller förbättra befintlig) cybersäkerhetsstrategi för att anpassa, utveckla och förbättra organisationens förmåga att hantera cyberattacker. Vi har identifierat 3 fokusområden som strategin bör inkludera för att efterleva NIS2-direktivet:

Styrning

  • Ledningssystem för informationssäkerhet
  • Medvetenhet och utbildning
  • Riskhantering

Incidenthantering

  • Hantering av incidenter
  • Rapportering av incidenter
  • Kontinuitetshantering

Infrastruktur- och systemsäkerhet

  • Infrastruktur-/nätverkssäkerhet
  • Säkra rutiner för systemutveckling
  • Identitets- och åtkomsthantering
  • Tredjepartsriskhantering

Lär dig mer

Varför har NIS2 utvecklats?

Sedan covid-19-pandemin har cyberhoten utvecklats snabbt. Europeiska kommissionen har därför föreslagit att EU:s direktiv om säkerhet för nätverks- och informationssystem (NIS-direktivet) ska ersättas av NIS2 för att harmonisera och förbättra cybersäkerheten inom alla EU:s medlemsstater. NIS2-direktivet träder i kraft i oktober 2024 och ställer hårdare krav på ett större antal organisationer jämfört med NIS1. Det övergripande syftet med lagstiftningen är att uppnå en hög gemensam cybersäkerhetsnivå i hela unionen. NIS2 har tre allmänna mål:

  1. Öka cybersäkerheten och motståndskraften hos företag och organisationer som är verksamma inom den Europeiska unionen för alla sektorer som omfattas av direktivet.
  2. Harmonisera och öka motståndskraften mot cyberhot för sektorer som redan omfattats av NIS1.
  3. Förbättra den kollektiva förmågan att förbereda sig samt agera genom att a) vidta åtgärder för att öka förtroendet mellan myndigheter genom att utbyta mer information, och b) fastställa tydliga rutiner i händelse av en storskalig incident eller kris.

Det här är några av de viktigaste ändringarna/tilläggen i NIS2 jämfört med NIS1:

Hade du nytta av den här informationen?