Goda planer för cybersäkerhet för 2023 eller åtgärder för cybersäkerhet som krävs enligt lag?

NIS2, den nya lagen om cybersäkerhet.

NIS2-direktivet (nätverks- och informationssystem) antogs i november 2022 som det nya europeiska direktivet om cybersäkerhet och föreskriver flera saker som organisationer måste följa för att hålla cyberkriminella borta. Har du inte hört talas om det ännu? Kanske en bra sak att läsa vidare! NIS2 omfattar nämligen även administrativt ansvar och ansvarsskyldighet för fysiska personer.

Lagstiftning i mitten av 2024!

Liksom den europeiska dataskyddsförordningen (GDPR) när det gäller integritetslagstiftning, blir den europeiska NIS2-lagstiftningen också obligatorisk lagstiftning för de organisationer som anges nedan. GDPR har blivit AVG i Nederländerna, NIS2 har också ett nederländskt namn, NIB2 (Network and Information Security Directive). Som nederländsk lagstiftning måste den genomföras under andra halvåret (september) 2024 (21 månader efter antagandet). Detta gäller för övrigt för alla 27 europeiska medlemsstater.

"2" beror på att NIS redan har funnits, nämligen sedan 2016. Ur denna NIS(1) växte 2018 lagen om säkerhet i nätverks- och informationssystem (WBNI) fram, som införde en lagstadgad anmälningsskyldighet och säkerhetsåtgärder för leverantörer av digitala tjänster (DSP) och leverantörer av samhällsviktiga tjänster (AED), t.ex. elbolag och dricksvattenleverantörer. DSP och AED nämns för övrigt inte längre i NIS2.

De senaste åren har visat att många organisationer inte i tillräcklig utsträckning vidtagit de s.k. "grundläggande åtgärderna" som också nämns av det nationella centret för cybersäkerhet (https://www.ncsc.nl/onderwerpen/basismaatregelen ). Många organisationer visade sig vara sårbara för cyberattacker. Många gånger påverkades många fler organisationer än bara den organisation som själv var måltavlan, så konsekvenserna var ofta enorma. NIS2 bör stärka motståndskraften mot cyberattacker genom att höja säkerhetsnivåerna och tvinga fram antagandet av "grundläggande åtgärder" för att förhindra cyberattacker och minska deras konsekvenser.

NIS2 är inte bara en innehållsmässig uppdatering av NIS, utan kommer nu också att bli en lokal nederländsk lag (NIB2) och även i alla andra EU-medlemsstater. En viktig förändring är dessutom tillämpningsområdet. Medan den tidigare främst var inriktad på de tidigare nämnda DSP:erna och AED:erna, mestadels stora organisationer som är viktiga för kritisk infrastruktur, kommer den nu också att påverka organisationer som är viktiga för detta och organisationer som levererar dem. Dessutom spelar storleken inte längre någon roll. Det är alltså mycket möjligt att din organisation kan omfattas av NIS2. Det antas att omkring 160 000 organisationer i Europa omfattas av NIS2 och omkring 4 500 organisationer i Nederländerna.

Dessutom kommer NIS2 också att se till att det sker ett samarbete inom sektorer och EU:s medlemsstater för att öka och påskynda rapporteringen av incidenter.

Vem gäller den för?

NIS2 omfattar organisationer som bedriver affärsverksamhet som omfattas av "viktig verksamhet" inom följande viktiga sektorer:

• Energi
• Transport
• Bankverksamhet
• Infrastruktur Finansiell marknad
• Hälso- och sjukvård
• Dricksvattenförsörjning (avloppsvatten)
• Digital infrastruktur
• Förvaltning av IKT-tjänster (B2B)
• Regeringen
• Aerospace

Detta omfattar nu organisationer som erbjuder nyckelaktiviteter som t.ex:

• Leverantörer av plattformar för sociala nätverk
• Tillbehörsleverantörer av digitala infrastrukturtjänster (t.ex. leverantörer av offentliga elektroniska kommunikationsnät och kommunikationstjänster).
• Leverantörer av förvaltning av IKT-tjänster
• Offentliga tjänster
• Post- och kurirtjänster
• Tillverkning, produktion och distribution av kemikalier
• Enheter som är involverade i produktion, bearbetning och distribution av livsmedel.
• Vissa tillverkare (t.ex. av medicinsk utrustning, IT- eller elektronikkomponenter, maskiner, motorfordon eller andra transportmedel).
• Läkemedelsföretag
• Forskningsinstitutioner
• Avfallshantering

Om du är en tjänsteleverantör inom denna verksamhet och har mer än 50 anställda och en omsättning på mer än 10 miljoner euro, omfattas du av NIS2. Men NIS2 gäller för hela kedjan. Så om du gör affärer med någon av dessa organisationer kommer du också att omfattas av NIS2 eller så kommer krav att ställas på dig, och just detta faktum kommer att påverka många organisationer!

Myndigheternas verkställighet och böter

Som nämndes i inledningen kommer EU:s medlemsstater att översätta NIS2 till lokal lagstiftning och detta bör vara på plats i början av 2024 (vilket är snart). Medlemsstaterna kommer att samarbeta närmare sinsemellan och med EU och bör inrätta en eller flera grupper för hantering av datasäkerhetsincidenter. I Nederländerna är ett antal av dessa CSIRTS redan aktiva för vissa grupper.

Om NIS2 inte följs kan det leda till böter på upp till 2 % av den globala omsättningen, med ett maximalt belopp på 10 miljoner euro. Processen kommer att skilja sig från GDPR-AVG, eftersom den där träder i kraft först efter en dataintrång. Med NIS2 kommer det också att vara möjligt att bli granskad vid misstanke om dataintrång eller så kan slumpmässiga granskningar också genomföras. Det bör noteras att väsentliga enheter kommer att stå under fullständig övervakning. För viktiga enheter kommer övervakningen att ske i efterhand. Med NIS2 finns det förresten administrativt ansvar och ansvarsskyldighet! 

Det återstår att se vem som kommer att genomföra verkställigheten och hur. Det finns vissa rykten som går om att detta skulle kunna falla på Telecom Agency. Denna tillsynsmyndighet har bytt namn till Rijksinspectie Digitale Infrastructuur (förkortat RDI) med verkan från och med den 1-1-2023, så kanske finns det ett samband med detta.

Vad måste jag följa?

• Beroende på om din organisation omfattas av väsentlig eller omfattande verksamhet måste du uppfylla ett antal krav. Det blir viktigt att förankra riskhantering som en process och därför måste riskanalyser och riskbehandlingar genomföras. 
• Det är obligatoriskt att registrera säkerhetsincidenter om de påverkar tillgängligheten, integriteten eller konfidentialiteten och även uppgifternas äkthet. Precis som för dataintrång enligt AVG ska dessa rapporteras inom 72 timmar. Och även inom 24 timmar om tillgängligheten har äventyrats och en fullständig incidentrapport ska lämnas in inom en månad. Dessutom måste åtgärder vidtas för kontinuitet i verksamheten, hantering av säkerhetskopior, katastrofåterställning och krishantering.
• Säkerheten hos leverantörer och leveranskedjor i förhållande till leverantörer och tjänsteleverantörer;
• Allmänna säkerhetsåtgärder och utbildning för cybersäkerhet (se listan nedan).

Om du gör affärer med en av dessa organisationer som tillhandahåller viktig verksamhet måste du också ha ordning på de allmänna säkerhetsåtgärderna. Det är ju självklart att dessa organisationer också ställer krav på att leverantörerna ska visa att de grundläggande minimiåtgärderna har vidtagits som de själva också måste följa. I NIS2 fastställs trots allt säkerhetskrav för kedjan, så listan nedan (som delvis bygger på NCSC:s grundläggande säkerhetskrav) är en utmärkt grund:

• Vidta grundläggande åtgärder och utbildning för cybersäkerhet.
• Riktlinjer och förfaranden för användning av kryptering.
• Åtkomstsäkerhet, tillgångsförvaltning och HR-säkerhet
• Se till att varje program och system genererar tillräckligt med logginformation och gör en korrekt inventering.
• Tillämpa flerfaktorsautentisering vid behov.
• Fastställa vem som har tillgång till dina data och tjänster.
• Segmentnätverk
• Kryptera lagringsmedia som innehåller känslig företagsinformation
• Kontrollera vilka enheter och tjänster som är tillgängliga från internet och skydda dem.
• Säkerhetskopiera och testa dina system regelbundet.
• Installera programuppdateringar
• Undvik virus och annan skadlig kod
• Inventera sårbarheter genom att utföra regelbundna riskbedömningar och sårbarhetsanalyser.

Det är viktigt att kunna bevisa detta, ISO 27001-certifiering? Eller på något annat sätt?

Det finns inga NIS2-certifieringar (ännu). I praktiken kommer många leverantörer av viktiga tjänster och leverantörer av nyckelaktiviteter att vilja visa att de uppfyller NIS2-kraven. Med tanke på deras ansvar för leveranskedjan kommer de i sin tur också att kräva att deras leverantörer ska kunna visa detta. En standard som ISO 27001 för informationssäkerhet förväntas användas allt oftare för detta ändamål. När allt kommer omkring behandlas de flesta frågor som nämns i NIS2 som åtgärder även i denna standard och när det gäller bevisbarhet kommer denna standard att vara en enkel väg till NIS2-bevisbarhet. Som leverantör i kedjan kommer det att bli mycket lättare att fortsätta att göra affärer med viktiga leverantörer och leverantörer av nyckelaktiviteter.

Snabbt komma igång med implementering och efterlevnad av NIS2.

Med våra integrerade CyberManager-hanteringssystem SFIS, SHIS, SFCS, SHKV (för informationssäkerhet, sekretess, cybersäkerhet och affärskontinuitet) erbjuder vi både små och medelstora företag och stora organisationer en lösning för att genomföra och hantera de ovannämnda frågorna på ett skalbart sätt. Oavsett om du är en leverantör av väsentliga eller viktiga verksamheter enligt NIS2 eller en leverantör med något annorlunda krav finns det alltid en lämplig prenumeration för NIS2 och till exempel ISO 27001-standarden. 

I CyberManager finns en NIS2-instrumentpanel som är kopplad till de åtgärder som nämns i den här artikeln, så att du först kan fokusera på NIS2-kraven och visa att de uppfylls. Du kan också använda samma åtgärder samt ytterligare åtgärder för att genomföra ISO 27001. På så sätt kan du genomföra NIS2 steg för steg, liksom ISO 27001-standarden.

Programvaran CyberManager SFIS erbjuder standardfunktioner för riskhantering, registrering och hantering av säkerhetsincidenter, dataintrång, sårbarheter eller andra arbetsflöden, inklusive e-postmeddelanden till de berörda samt hantering av sekretess via SHIS. Dessutom finns ett integrerbart system för hantering av e-lärande tillgängligt så att utbildning i riskmedvetenhet kan tillhandahållas och du kan hantera dina bedömningar och din planering av kontinuitet i verksamheten via systemet för hantering av kontinuitet i verksamheten. Som tidigare nämnts finns det instrumentpaneler för NIS2 och ISO 27001. 

Organisationer som också använder standarder som NIST CSF, CSIR/BIACS, IEC 62443 eller t.ex. CIS-kontroller för både SFIS och OT-säkerhet kan också kontrollera dem via CyberManagers ledningssystem SFIS eller SFCS.

Om du vill veta mer kan du kontakta oss här eller via våra partner. Klicka här för att läsa mer om våra CyberManager-lösningar SFIS, SHIS, SFCS, SHKV

Källa:

NIS2 finns här på flera språk

https://eur-lex.europa.eu/eli/dir/2022/2555/oj

https://www.europarl.europa.eu/doceo/document/TA-9-2022-0383_EN.pdf

https://www.europarl.europa.eu/news/en/press-room/20221107IPR49608/cybersecurity-parliament-adopts-new-law-to-strengthen-eu-wide-resilience 

https://www.ncsc.nl/onderwerpen/basismaatregelen