Gode intentioner for cybersikkerhed i 2023 eller lovpligtige cybersikkerhedsforanstaltninger?

NIS2, den nye lov om cybersikkerhed.

NIS2-direktivet (Network and Information Systems) blev vedtaget i november 2022 som det nye europæiske cybersikkerhedsdirektiv og kræver flere ting, som organisationer skal overholde for at holde cyberkriminelle ude. Har du ikke hørt om det endnu? Så er det måske en god idé at læse videre! For NIS2 omfatter også administrativt ansvar og erstatningsansvar for fysiske personer.

Lovgivning i midten af 2024!

Ligesom den europæiske GDPR for privatlivslovgivning bliver den europæiske NIS2 også obligatorisk lovgivning for de organisationer, der er anført nedenfor. GDPR er blevet til AVG i Holland, og NIS2 har også et hollandsk navn, NIB2 (Network and Information Security Directive). Som hollandsk lovgivning skal den være implementeret i anden halvdel (september) af 2024 (21 måneder efter vedtagelsen). Det gælder i øvrigt for alle 27 europæiske medlemslande.

"2" kommer af, at NIS allerede har eksisteret, nemlig siden 2016. Ud af denne NIS(1) opstod WBNI, Network and Information Systems Security Act, i 2018, som indførte en juridisk anmeldelsespligt og sikkerhedsforanstaltninger for udbydere af digitale tjenester (DSP) og udbydere af væsentlige tjenester (AED), såsom elselskaber og drikkevandsudbydere. I øvrigt er DSP og AED ikke længere nævnt i NIS2.

De seneste år har vist, at mange organisationer ikke i tilstrækkelig grad har truffet de såkaldte "grundlæggende foranstaltninger", som også nævnes af det nationale cybersikkerhedscenter (https://www.ncsc.nl/onderwerpen/basismaatregelen ). Mange organisationer viste sig at være sårbare over for cyberangreb. Mange gange blev mange flere organisationer ramt end blot den organisation, der selv var målet, så konsekvenserne var ofte enorme. NIS2 bør styrke cyberrobustheden ved at hæve sikkerhedsniveauet og gennemtvinge vedtagelsen af "grundlæggende foranstaltninger" for at forhindre cyberangreb og reducere deres indvirkning.

NIS2 er ikke kun en indholdsmæssig opdatering af NIS, så det bliver nu også en lokal hollandsk lov (NIB2) og også i alle andre EU-medlemslande. Derudover er der sket en stor ændring i anvendelsesområdet. Hvor det før primært var fokuseret på de førnævnte DSP'er og AED'er, for det meste store organisationer, der er afgørende for kritisk infrastruktur, vil det nu også påvirke organisationer, der er vigtige for dette, og organisationer, der leverer til dem. Desuden betyder størrelsen ikke længere noget. Så det er meget muligt, at din organisation kan blive omfattet af NIS2. Det antages, at omkring 160.000 organisationer i Europa er dækket af NIS2 og omkring 4.500 organisationer i Holland.

Derudover vil NIS2 også sikre, at der samarbejdes inden for sektorer og EU-medlemslande for at øge og fremskynde rapportering af hændelser.

Hvem gælder det for?

NIS2 dækker organisationer, der har forretningsaktiviteter, der falder ind under de "væsentlige aktiviteter" i følgende væsentlige nøglesektorer:

• Energi
• Transport
• Bankvirksomhed
• Infrastruktur Finansmarked
• Sundhedspleje
• Forsyning af drikkevand (spildevand)
• Digital infrastruktur
• Forvaltning af IKT-tjenester (B2B)
• Regering
• Luft- og rumfart
• Dette omfatter nu organisationer, der tilbyder nøgleaktiviteter som f.eks:

Udbydere af sociale netværksplatforme

• Supplerende udbydere af digitale infrastrukturtjenester (f.eks. udbydere af offentlige elektroniske kommunikationsnetværk og -tjenester)
• Udbydere af IKT-servicestyring
• Offentlige tjenester
• Post- og kurertjenester
• Fremstilling, produktion og distribution af kemikalier
• Virksomheder, der er involveret i produktion, forarbejdning og distribution af fødevarer
• Visse producenter (f.eks. af medicinsk udstyr, IT- eller elektroniske komponenter, maskiner, motorkøretøjer eller andre transportmidler)
• Farmaceutiske virksomheder
• Forskningsinstitutioner
• Affaldshåndtering
  Hvis du er tjenesteudbyder i forbindelse med disse aktiviteter og har mere end 50 ansatte og en omsætning på mere end 10 millioner, så er du dækket af NIS2. Men NIS2 gælder for hele kæden. Så hvis du gør forretninger med en af disse organisationer, så vil du også være omfattet af NIS2, eller der vil blive stillet krav til dig, og især dette faktum vil påvirke mange organisationer!

Myndighedernes håndhævelse og bøder

Som nævnt i indledningen vil EU's medlemsstater omsætte NIS2 til lokal lovgivning, og dette bør være på plads i begyndelsen af 2024 (hvilket er snart). Medlemsstaterne vil samarbejde tættere indbyrdes og med EU og bør oprette et eller flere Computer Security Incident Response Teams. I Holland er en række af disse CSIRTS allerede aktive for visse grupper.

Manglende overholdelse af NIS2 kan resultere i bøder på helt op til 2% af den globale omsætning, med et maksimum på 10 millioner euro. Processen vil være anderledes end GDPR-AVG, da processen her først træder i kraft efter et brud på datasikkerheden. Med NIS2 vil det også være muligt at blive auditeret ved mistanke om brud på datasikkerheden, og der kan også foretages tilfældige audits. Det skal bemærkes, at væsentlige enheder vil være under fuldt tilsyn. For vigtige enheder vil tilsynet være efterfølgende. Med NIS2 er der i øvrigt administrativt ansvar og erstatningsansvar!

Det er endnu uvist, hvem der skal håndhæve reglerne og hvordan. Der går nogle rygter om, at det måske bliver Telestyrelsen, der kommer til at stå for det. Denne myndighed er blevet omdøbt til Rijksinspectie Digitale Infrastructuur (forkortet RDI) med virkning fra 1.1.2023, så måske er der en sammenhæng med dette.

Hvad skal jeg overholde?

• Afhængigt af om din organisation falder ind under væsentlige eller større aktiviteter, skal du overholde en række krav. Det bliver vigtigt at integrere risikostyring som en proces, og som følge heraf skal der udføres risikoanalyser og risikohåndteringer.
• Det er obligatorisk at registrere sikkerhedshændelser, hvis de påvirker tilgængeligheden, integriteten eller fortroligheden og også autenticiteten af data. Som med et databrud under AVG, skal disse rapporteres inden for 72 timer. Og endda inden for 24 timer, hvis tilgængeligheden er blevet kompromitteret, og en fuld hændelsesrapport skal indsendes inden for en måned. Desuden skal der træffes foranstaltninger til forretningskontinuitet, backup management, disaster recovery og krisestyring.
• Leverandør- og forsyningskædesikkerhed i forhold til leverandører og tjenesteudbydere;
• Generelle cybersikkerhedsforanstaltninger og træning (se listen nedenfor)

Hvis du gør forretninger med en af disse organisationer, der leverer essentielle og vigtige aktiviteter, skal du også have de generelle sikkerhedsforanstaltninger i orden. Det er trods alt indlysende, at disse organisationer også stiller krav til leverandører om at demonstrere, at de grundlæggende minimumsforanstaltninger er truffet, som de også selv skal overholde. NIS2 stiller trods alt sikkerhedskrav til kæden, så nedenstående liste (delvist baseret på NCSC's grundlæggende sikkerhedskrav) er et glimrende udgangspunkt:

• Træffe grundlæggende cybersikkerhedsforanstaltninger og uddannelse.
• Retningslinjer og procedurer for brug af kryptering.
• Adgangssikkerhed, Asset Management og HR-sikkerhed
• Sørg for, at hver applikation og hvert system genererer tilstrækkelig loginformation og foretager en ordentlig opgørelse.
• Anvend multifaktorautentificering, hvor det er nødvendigt
• Bestem, hvem der har adgang til dine data og tjenester.
• Segmenter netværk
• Krypter lagringsmedier, der indeholder følsomme forretningsoplysninger
• Tjek, hvilke enheder og tjenester der er tilgængelige fra internettet, og beskyt dem.
• Sikkerhedskopier og test dine systemer regelmæssigt
• Installer softwareopdateringer
• Undgå virus og anden malware
• Lav en oversigt over sårbarheder ved at udføre regelmæssige risikovurderinger og sårbarhedsscanninger.

Er det vigtigt at kunne bevise, at man er ISO 27001-certificeret? Eller på en anden måde?

Der er ingen NIS2-certificeringer (endnu). I praksis vil mange vigtige udbydere og udbydere af nøgleaktiviteter ønske at demonstrere NIS2-compliance. I betragtning af deres ansvar for forsyningskæden vil de også kræve, at deres leverandører kan påvise dette. En standard som ISO 27001 for informationssikkerhed forventes at blive brugt oftere til dette formål. Når alt kommer til alt, er de fleste spørgsmål, der er nævnt i NIS2 som foranstaltninger, også behandlet i denne standard, og med hensyn til påviselighed vil denne standard være en nem vej til NIS2-påviselighed. Som leverandør i kæden vil det blive meget lettere at fortsætte med at gøre forretninger med vigtige leverandører og leverandører af nøgleaktiviteter.

Kom hurtigt i gang med NIS2-implementering og compliance.

Med vores integrerede CyberManager-styringssystemer ISMS, PIMS, CSMS og BCMS (til informationssikkerhed, privatlivets fred, cybersikkerhed og forretningskontinuitet) tilbyder vi både små og mellemstore virksomheder og store organisationer en løsning til at implementere og styre de førnævnte emner på en skalerbar måde. Uanset om du er leverandør af væsentlige eller centrale aktiviteter under NIS2 eller en leverandør med lidt andre krav, er der altid et passende abonnement til NIS2 og for eksempel ISO 27001-standarden.

I CyberManager er der et NIS2-dashboard, der er knyttet til de foranstaltninger, der er nævnt i denne artikel, så du først kan fokusere på NIS2-kravene og demonstrere overholdelse af disse. Du kan også bruge de samme foranstaltninger samt yderligere foranstaltninger til implementering af ISO 27001. Dette giver dig mulighed for at implementere NIS2 trin for trin, såvel som ISO 27001-standarden.

CyberManager ISMS-softwaren tilbyder standard risikostyringsfunktionalitet, registrering og håndtering af sikkerhedshændelser, databrud, sårbarheder eller andre workflows, herunder e-mail-meddelelser til de berørte samt styring af privatlivets fred via PIMS. Derudover er der et integrerbart e-learning management system til rådighed, så der kan tilbydes undervisning i risikobevidsthed, og du kan administrere dine Business Continuity Assessments og planlægning via Business Continuity Management System. Som tidligere nævnt er dashboards til NIS2 såvel som ISO 27001 tilgængelige.

Organisationer, der også bruger standarder som NIST CSF, CSIR/BIACS, IEC 62443 eller for eksempel CIS-kontroller til både et ISMS eller OT-Security, kan også styre dem via CyberManager-ledelsessystemerne ISMS eller CSMS.

Hvis du vil vide mere, kan du kontakte os her eller via vores partnere. Klik her for at lære mere om vores CyberManager ISMS-, CSMS-, PIMS- og BCMS-løsninger.

Kilde:
NIS2 kan findes her på flere sprog.

https://eur-lex.europa.eu/eli/dir/2022/2555/oj

https://www.europarl.europa.eu/doceo/document/TA-9-2022-0383_EN.pdf

https://www.europarl.europa.eu/news/en/press-room/20221107IPR49608/cybersecurity-parliament-adopts-new-law-to-strengthen-eu-wide-resilience 

https://www.ncsc.nl/onderwerpen/basismaatregelen