Gode cybersikkerhetsintensjoner for 2023 eller lovpålagte cybersikkerhetstiltak?

NIS2, den nye loven om cybersikkerhet.

NIS2-direktivet (Network and Information Systems) ble vedtatt i november 2022 som det nye europeiske cybersikkerhetsdirektivet og pålegger flere ting som organisasjoner må overholde for å holde nettkriminelle ute. Har du ikke hørt om det ennå? Da er det kanskje lurt å lese videre! For NIS2 omfatter også administrativt ansvar og erstatningsansvar for fysiske personer.

Lovgivning innen midten av 2024!

I likhet med den europeiske personvernforordningen blir også den europeiske NIS2 obligatorisk lovgivning for organisasjonene som er oppført nedenfor. GDPR har blitt til AVG i Nederland, og NIS2 har også et nederlandsk navn, NIB2 (nettverks- og informasjonssikkerhetsdirektivet). Som nederlandsk lovgivning må den implementeres i andre halvdel (september) av 2024 (21 måneder etter vedtakelsen). Dette gjelder for øvrig alle de 27 europeiske medlemslandene.

"2" kommer av at NIS allerede eksisterte, nemlig siden 2016. Ut av denne NIS(1) dukket WBNI, Network and Information Systems Security Act, opp i 2018, som påla leverandører av digitale tjenester (DSP) og leverandører av essensielle tjenester (AED), som elektrisitetsselskaper og drikkevannsleverandører, en juridisk meldeplikt og sikkerhetstiltak. DSP og AED er for øvrig ikke lenger nevnt i NIS2.

De siste årene har vist at mange organisasjoner ikke i tilstrekkelig grad har truffet de såkalte "grunnleggende tiltakene" som også nevnes av det nasjonale cybersikkerhetssenteret (https://www.ncsc.nl/onderwerpen/basismaatregelen ). Mange organisasjoner viste seg å være sårbare for cyberangrep. Mange ganger ble mange flere organisasjoner berørt enn bare den organisasjonen som ble angrepet, slik at virkningen ofte var enorm. NIS2 skal styrke motstandsdyktigheten mot cyberangrep ved å heve sikkerhetsnivået og håndheve innføringen av "grunnleggende tiltak" for å forebygge cyberangrep og redusere virkningen av dem.

NIS2 er ikke bare en vesentlig oppdatering av NIS, så det vil nå også være en lokal nederlandsk lov (NIB2) og også i alle andre EU-land. I tillegg er omfanget en viktig endring. Mens det tidligere hovedsakelig var fokusert på de nevnte DSP-ene og AED-ene, for det meste store organisasjoner som er viktige for kritisk infrastruktur, vil det nå også påvirke organisasjoner som er viktige for dette og organisasjoner som leverer til dem. I tillegg betyr ikke lenger størrelse noe. Så det er godt mulig at din organisasjon kan bli omfattet av NIS2. Det antas at rundt 160 000 organisasjoner i Europa er omfattet av NIS2, og rundt 4500 organisasjoner i Nederland.

I tillegg vil NIS2 også sikre at det samarbeides innenfor sektorer og EU-land for å øke og fremskynde rapportering av hendelser.

Hvem gjelder den for?

NIS2 dekker organisasjoner som har forretningsaktiviteter som faller inn under "viktige aktiviteter" i følgende viktige sektorer:

• Energi
• Transport
• Bankvirksomhet
• Infrastruktur Finansmarkedet
• Helse- og omsorgstjenester
• Drikkevannsforsyning (avløpsvann)
• Digital infrastruktur
• Forvaltning av IKT-tjenester (B2B)
• Regjeringen
• Luft- og romfart

Dette omfatter nå organisasjoner som tilbyr nøkkelaktiviteter som f.eks:

• Tilbydere av sosiale nettverksplattformer
• Tilleggsleverandører av digitale infrastrukturtjenester (f.eks. leverandører av offentlige elektroniske kommunikasjonsnett og -tjenester)
• Leverandører av IKT-tjenestestyring
• Offentlige tjenester
• Post- og kurertjenester
• Fremstilling, produksjon og distribusjon av kjemikalier
• Enheter som er involvert i produksjon, bearbeiding og distribusjon av næringsmidler
• Visse produsenter (f.eks. av medisinsk utstyr, IT eller elektroniske komponenter, maskiner, motorkjøretøyer eller andre transportmidler
• Farmasøytiske selskaper
• Forskningsinstitusjoner
• Avfallshåndtering

Hvis du er tjenesteleverandør med hensyn til disse aktivitetene og har mer enn 50 ansatte og en omsetning på mer enn 10 millioner, er du omfattet av NIS2. Men NIS2 gjelder for hele kjeden. Så hvis du gjør forretninger med noen av disse organisasjonene, vil du også falle inn under NIS2, eller det vil bli stilt krav til deg, og spesielt dette faktum vil påvirke mange organisasjoner!

Myndighetenes håndheving og bøter

Som nevnt i innledningen vil EUs medlemsstater oversette NIS2 til lokal lovgivning, og dette skal være på plass innen begynnelsen av 2024 (som er snart). Medlemsstatene vil samarbeide tettere seg imellom og med EU, og bør opprette ett eller flere responsteam for datasikkerhetshendelser. I Nederland er en rekke slike CSIRTS allerede aktive for visse grupper.

Manglende overholdelse av NIS2 kan føre til bøter på så mye som 2 % av den globale omsetningen, med et maksimum på 10 millioner euro. Prosessen vil være forskjellig fra GDPR-AVG, ettersom prosessen der først trer i kraft etter et datainnbrudd. Med NIS2 vil det også være mulig å bli revidert ved mistanke om datainnbrudd, eller det kan også gjennomføres stikkprøvekontroller. Det bør bemerkes at viktige enheter vil være under fullt tilsyn. For viktige enheter vil tilsynet skje i etterkant. Med NIS2 er det for øvrig administrativt ansvar og erstatningsansvar! 

Det gjenstår å se hvem som skal gjennomføre håndhevingen og hvordan. Det går noen rykter om at dette kan falle til Telecom Agency. Denne regulatoren har blitt omdøpt til Rijksinspectie Digitale Infrastructuur (forkortet RDI) med virkning fra 1. januar 2023, så kanskje det er en sammenheng med dette.

Hva må jeg overholde?

• Avhengig av om organisasjonen din faller inn under viktige eller større aktiviteter, må du oppfylle en rekke krav. Det blir viktig å forankre risikostyring som en prosess, og som et resultat av dette må det gjennomføres risikoanalyser og risikohåndtering.
• Det er obligatorisk å registrere sikkerhetshendelser hvis de påvirker tilgjengeligheten, integriteten eller konfidensialiteten og også dataenes autentisitet. I likhet med datainnbrudd i henhold til personvernforordningen skal disse rapporteres innen 72 timer. Og til og med innen 24 timer hvis tilgjengeligheten er kompromittert, og en fullstendig hendelsesrapport skal sendes inn innen en måned. Videre må det iverksettes tiltak for driftskontinuitet, sikkerhetskopiering, gjenoppretting etter katastrofer og krisehåndtering.
• Leverandør- og leverandørkjedesikkerhet i forhold til leverandører og tjenesteleverandører;
• Generelle sikkerhetstiltak og opplæring i cybersikkerhet (se listen nedenfor)

Hvis du gjør forretninger med en av disse organisasjonene som leverer essensielle og viktige aktiviteter, må du også ha de generelle sikkerhetstiltakene i orden. Når alt kommer til alt er det åpenbart at disse organisasjonene også stiller krav til leverandørene om å vise at de grunnleggende minimumstiltakene som de selv også må overholde, er iverksatt. NIS2 stiller tross alt sikkerhetskrav til kjeden, så listen nedenfor (delvis basert på NCSCs grunnleggende sikkerhetskrav) er et utmerket grunnlag:

• Grunnleggende cybersikkerhetstiltak og opplæring.
• Retningslinjer og prosedyrer for bruk av kryptering.
• Tilgangssikkerhet, eiendomsforvaltning og HR-sikkerhet
• Sørg for at hver applikasjon og hvert system genererer tilstrekkelig logginformasjon og foretar riktig inventering.
• Bruk flerfaktorautentisering der det er nødvendig
• Bestem hvem som har tilgang til dataene og tjenestene dine
• Segmentnettverk
• Krypter lagringsmedier som inneholder sensitiv forretningsinformasjon
• Sjekk hvilke enheter og tjenester som er tilgjengelige fra internett, og beskytt dem.
• Sikkerhetskopiere og teste systemene dine regelmessig
• Installere programvareoppdateringer
• Unngå virus og annen skadelig programvare
• Kartlegg sårbarheter ved å utføre regelmessige risikovurderinger og sårbarhetsanalyser.

Påviselighet er viktig, ISO 27001-sertifisering? Eller på en annen måte?

Det finnes ingen NIS2-sertifiseringer (ennå). I praksis vil mange viktige leverandører og leverandører av nøkkelaktiviteter ønske å demonstrere NIS2-samsvar. Gitt deres ansvar i leverandørkjeden, vil de på sin side også kreve at leverandørene deres kan dokumentere dette. En standard som ISO 27001 for informasjonssikkerhet forventes å bli brukt oftere til dette formålet. Når alt kommer til alt, er de fleste spørsmålene som er nevnt i NIS2 som tiltak, også behandlet i denne standarden, og når det gjelder påviselighet, vil denne standarden være en enkel vei til NIS2-påviselighet. Som leverandør i kjeden vil det bli mye enklere å fortsette å gjøre forretninger med viktige leverandører og leverandører av nøkkelaktiviteter.

Kom raskt i gang med NIS2-implementering og samsvar.

Med våre integrerte CyberManager-styringssystemer SSIS, SFIP, SSCS, SSFK (for informasjonssikkerhet, personvern, cybersikkerhet og forretningskontinuitet) tilbyr vi både små og mellomstore bedrifter og store organisasjoner en løsning for å implementere og administrere de nevnte problemene på en skalerbar måte. Enten du er en leverandør av essensielle eller nøkkelaktiviteter under NIS2 eller en leverandør med litt andre krav, finnes det alltid et passende abonnement for NIS2 og for eksempel ISO 27001-standarden. 

I CyberManager er det et NIS2-dashbord knyttet til tiltakene som er nevnt i denne artikkelen, slik at du først kan fokusere på NIS2-kravene og demonstrere samsvar med disse. Du kan også bruke de samme tiltakene samt ytterligere tiltak for å implementere ISO 27001. Dette lar deg implementere NIS2 trinn for trinn, i tillegg til ISO 27001-standarden.

CyberManager SSIS-programvaren tilbyr standard risikostyringsfunksjonalitet, registrering og håndtering av sikkerhetshendelser, datainnbrudd, sårbarheter eller andre arbeidsflyter, inkludert e-postvarsler til de berørte, samt personvernhåndtering via SFIP. I tillegg er et integrerbart e-læringsstyringssystem tilgjengelig, slik at det kan gis opplæring i risikobevissthet, og du kan administrere virksomhetskontinuitetsvurderinger og -planlegging via virksomhetskontinuitetsstyringssystemet. Som nevnt tidligere er dashbord for NIS2, samt ISO 27001, tilgjengelig. 

Organisasjoner som også bruker standarder som NIST CSF, CSIR/BIACS, IEC 62443 eller for eksempel CIS-kontrollene for både et SSIS eller OT-Security, kan også kontrollere dem via CyberManager-styringssystemene SSIS eller SSCS.

Hvis du vil vite mer, kan du kontakte oss her eller gjennom våre partnere. Klikk her for å lære mer om våre CyberManager SSIS, SFIP, SSCS, SSFK-løsninger.

Kilde:

NIS2 finnes her på flere språk.

https://eur-lex.europa.eu/eli/dir/2022/2555/oj

https://www.europarl.europa.eu/doceo/document/TA-9-2022-0383_EN.pdf

https://www.europarl.europa.eu/news/en/press-room/20221107IPR49608/cybersecurity-parliament-adopts-new-law-to-strengthen-eu-wide-resilience 

https://www.ncsc.nl/onderwerpen/basismaatregelen