VAD ÄR NIS/NIS2?

VAD ÄR NIS/NIS2?

NIS-direktivet (direktivet om nätverks- och informationssystem) är en del av EU:s insatser för att förbättra den övergripande cybersäkerheten och skydda medborgare och företag från det ökande hotet från cyberattacker. NIS-direktivet är en EU-lagstiftning som syftar till att förbättra cybersäkerheten för kritisk infrastruktur och viktiga tjänster som energi, transport, bank och hälso- och sjukvård i EU:s medlemsländer. Direktivet kräver att organisationer vidtar lämpliga åtgärder för att säkerställa säkerheten i sina nätverks- och informationssystem, förhindra och minimera effekterna av cyberattacker och rapportera betydande incidenter till relevanta myndigheter.

NIS-direktivet antogs av Europeiska unionen (EU) 2016 och trädde i kraft i maj 2018. EU:s medlemsländer var tvungna att implementera direktivet i sina nationella lagar senast den 9 maj 2018 och hade sedan ytterligare 21 månader på sig att fullt ut uppfylla direktivets krav.

På grund av de ökade hoten har EU ansett att medlemsländerna måste vara bättre förberedda på cyberattacker. Som ett resultat utfärdade EU NIS2-direktivet 2022/2555 i november 2022.

VILKA är de största skillnaderna mellan NIS- och NIS2-direktiven?

NIS2 är en översyn av det ursprungliga NIS-direktivet som uppdaterar och utvidgar det ursprungliga direktivets tillämpningsområde till att omfatta ett bredare spektrum av samhällsviktiga tjänster och leverantörer av digitala tjänster. NIS2 bygger på det ursprungliga NIS-direktivet men utvidgar avsevärt de kategorier av organisationer som omfattas av lagens tillämpningsområde, inför nya och mer detaljerade regler för säkerhet och incidentrapportering och skapar ett striktare verkställighetssystem. EU:s medlemsstater är skyldiga att införliva NIS2-direktivet i sin nationella lagstiftning.

De viktigaste skillnaderna mellan det ursprungliga NIS-direktivet (som antogs 2016 och som redan har införts) och NIS2-direktivet (som antogs 2022) är följande:

1. Tillämpningsområde: NIS2-direktivet utvidgar tillämpningsområdet för det ursprungliga NIS-direktivet till att omfatta ett bredare spektrum av samhällsviktiga tjänster och leverantörer av digitala tjänster, bland annat molntjänster, internetbaserade marknadsplatser och sökmotorer.
2. Incidentrapportering:  NIS2-direktivet inför en harmoniserad rapporteringsskyldighet för allvarliga incidenter i alla EU:s medlemsstater, med tydliga kriterier för vad som utgör en allvarlig incident. Det ursprungliga NIS-direktivet krävde endast rapportering av incidenter som påverkar samhällsviktiga tjänster.
3. Samordning och samarbete:  NIS2-direktivet fastställer en starkare ram för samordning och samarbete mellan EU:s medlemsländer, Europeiska unionens cybersäkerhetsbyrå (Enisa) och Europeiska kommissionen.
4. Cybersäkerhetscertifiering: Genom NIS2-direktivet införs ett frivilligt system för cybersäkerhetscertifiering för leverantörer av digitala tjänster och leverantörer av samhällsviktiga tjänster.
5. Riskhantering för cybersäkerhet: NIS2-direktivet kräver att leverantörer av samhällsviktiga tjänster och leverantörer av digitala tjänster genomför en riskhanteringsprocess för att säkerställa säkerheten i sina nätverks- och informationssystem.

NÄR träder NIS2 i kraft?

Den nya EU-omfattande cyberlagen, direktiv 2022/2555 (NIS2), trädde i kraft måndagen den 16 januari 2023. Medlemsländerna har nu fram till den 18 oktober 2024 på sig att införliva det nya direktivet i sina respektive nationella lagar. Till skillnad från GDPR, som är en förordning som är lika för hela EU, kommer NIS2 att implementeras på olika sätt i alla medlemsstater.

VEM gäller NIS2 för?

NIS2-direktivet gäller för leverantörer av samhällsviktiga tjänster och leverantörer av digitala tjänster i Europeiska unionens (EU) medlemsstater.

Aktörer som tillhandahåller samhällsviktiga tjänster är företag och organisationer inom bland annat följande branscher:

• energi;
• transport;
• Hälsa;
• bankrörelse;
• vattenförsörjning;
• avfallshantering;
• och andra som är avgörande för att samhället och ekonomin ska fungera.

Leverantörer av digitala tjänster omfattar e-marknadsplatser, sökmotorer och molntjänster som spelar en avgörande roll för att den digitala inre marknaden ska fungera.

Enligt direktivet ska dessa organisationer vidta lämpliga åtgärder för att säkra sina nätverks- och informationssystem och rapportera allvarliga incidenter till berörda myndigheter. Syftet är att förbättra EU:s övergripande cybersäkerhet och skydda medborgarna och ekonomin från skador som orsakas av cyberattacker.

HUR tillämpas NIS2 på kommuner, myndigheter och offentlig sektor i allmänhet?

För en genomsnittlig stadsförvaltning innebär NIS2-direktivet att de måste vidta nödvändiga åtgärder för att skydda sina informationssystem och nätverk som stöder tillhandahållandet av viktiga tjänster till medborgarna. Detta kan innefatta att genomföra riskbedömningar, genomföra säkerhetskontroller och ha incidenthanteringsplaner på plats för att hantera cyberincidenter.

På sätt och vis är detta inte en förändring från det första NIS-direktivet, men det nya direktivet har resulterat i förnyat fokus på cybersäkerhetsfrågor. Underlåtenhet att följa NIS2-direktivet kan leda till betydande böter och, ännu viktigare, förlust av allmänhetens förtroende för stadens förmåga att leverera viktiga tjänster på ett säkert sätt. NIS2-direktivet kräver också att stadsstyrelser rapporterar allvarliga cyberincidenter till berörda myndigheter.

Vilka är de viktigaste stegen för att bli NIS2-kompatibel?

Att bli kompatibel med NIS2-direktivet innebär flera viktiga steg, bland annat:

1. Bedömning: Gör en omfattande bedömning av dina nuvarande nätverks- och informationssystem för att identifiera eventuella sårbarheter och bedöma den aktuella säkerhetsnivån.
2. Riskhantering: Implementera ett riskhanteringsprogram som inkluderar riskbedömning, riskreducering och riskövervakning.
3. Genomförande av säkerhetsåtgärder: Implementera lämpliga tekniska och organisatoriska åtgärder för att säkra dina nätverks- och informationssystem, t.ex. åtkomstkontroller, kryptering, planering av incidenthantering och utbildning i säkerhetsmedvetenhet. (Lämplig åtgärd finns längre ner i de följande kapitlen)
4. Regelbundna säkerhetstester:  Testa regelbundet effektiviteten av dina säkerhetsåtgärder, t.ex. penetrationstester, sårbarhetsskanning och säkerhetsrevisioner.
5. Planering av incidenthantering: Utveckla och implementera en incidenthanteringsplan för att säkerställa att du är beredd att reagera snabbt och effektivt på säkerhetsincidenter.
6. Övervakning och granskning: Övervaka kontinuerligt dina nätverks- och informationssystem för att identifiera eventuella nya hot eller sårbarheter, och se regelbundet över och uppdatera dina säkerhetsåtgärder för att säkerställa att de förblir effektiva.
7. Dokumentation: Håll korrekt och uppdaterad dokumentation av dina säkerhetsåtgärder och säkerhetsincidenter.

Det är viktigt att notera att dessa steg inte är en engångsaktivitet utan snarare bör vara en pågående process för att upprätthålla efterlevnaden av NIS2-direktivet. Organisationer bör kontinuerligt se över och uppdatera sina säkerhetsåtgärder för att säkerställa att de förblir effektiva inför nya säkerhetshot.

Utmaningar med att implementera NIS2

Implementeringen av NIS2-direktivet kan innebära flera utmaningar för organisationer och myndigheter:

1. Efterlevnadskostnader: Organisationer kan drabbas av betydande kostnader för att uppfylla kraven i NIS2-direktivet, inklusive genomförandet av lämpliga tekniska och organisatoriska åtgärder för att säkerställa säkerheten i sina nätverks- och informationssystem. eBuilderSecurity erbjuder många av de nödvändiga förebyggande säkerhetsåtgärderna som en tjänst, vilket minskar kostnaderna. Att köpa förebyggande åtgärder som en tjänst minskar kostnaderna för dyra licenser.
2. Teknisk komplexitet: Att implementera NIS2-direktivets krav kan vara tekniskt komplicerat, särskilt för organisationer med stora och komplexa informationssystem och nätverk. eBuilderSecurity erbjuder många av de nödvändiga förebyggande säkerhetsåtgärderna som en tjänst, vilket flyttar den tekniska komplexiteten från kunden till eBuilder Security.
3. Harmonisering:  Att säkerställa harmonisering av implementeringen av NIS2-direktivet i EU:s medlemsländer kan vara utmanande, eftersom implementeringen av direktivets krav kan variera mellan länder. Olika medlemsstater kan tolka direktiven på olika sätt eftersom de implementeras i medlemsstaternas lokala lagstiftning.
4. Incidentrapportering: Att implementera NIS2-direktivets krav på incidentrapportering kan vara utmanande, särskilt för organisationer som inte tidigare har haft rutiner för incidentrapportering på plats.
5. Cybersäkerhetscertifiering: Att genomföra NIS2-direktivets frivilliga system för cybersäkerhetscertifiering kan också vara en utmaning, eftersom organisationer måste visa att de uppfyller direktivets krav och genomgå en rigorös utvärderingsprocess.

Sammanfattningsvis kan implementeringen av NIS2-direktivet vara en utmaning för organisationer på grund av efterlevnadskostnader, teknisk komplexitet, harmonisering, incidentrapportering och krav på cybersäkerhetscertifiering. Dessa utmaningar bör dock uppvägas av fördelarna med förbättrad cybersäkerhet och förbättrat skydd. Komplexiteten kan också minskas genom att upphandla många av de ”lämpliga åtgärderna” som en tjänst. Det är alltid mycket billigare att förebygga än att återhämta sig.

Vad menas med ”lämpliga åtgärder”?

Termen ”lämpliga åtgärder” i samband med NIS2-direktivet avser tekniska och organisatoriska åtgärder som organisationer måste genomföra för att säkerställa säkerheten i sina nätverks- och informationssystem. Dessa åtgärder är avsedda att förhindra och minimera effekterna av säkerhetsincidenter, såsom cyberattacker, på deras verksamhet och deras användares personuppgifter.

Exempel på lämpliga åtgärder är:

1. Utbildning i säkerhetsmedvetenhet – Mänskliga fel är ofta en viktig faktor vid säkerhetsincidenter, t.ex. dataintrång. Genom att ge anställda utbildning i hur man identifierar och reagerar på potentiella säkerhetshot kan organisationer minska risken för säkerhetsincidenter orsakade av mänskliga fel.
2. Sårbarhetsskanning av  applikationer – Skanning av sårbarheter i applikationer är processen att identifiera säkerhetsbrister i mjukvaruapplikationer, såsom webbapplikationer och mobilappar. Genom att utföra sårbarhetsskanning av applikationer kan organisationer identifiera säkerhetssvagheter och vidta åtgärder för att åtgärda dem innan de utnyttjas av skadliga aktörer.
3. Penetrationstester av nätverk –  är processen att simulera en attack mot en organisations nätverks- och informationssystem för att identifiera säkerhetsbrister. Genom att utföra nätverkspenetrationstester kan organisationer identifiera säkerhetsbrister och vidta åtgärder för att åtgärda dem innan de utnyttjas av illvilliga aktörer.
4. Slutpunktsskydd (EDR/MDR) – Genom att implementera slutpunktsskydd kan organisationer förebygga, upptäcka och reagera på säkerhetsincidenter som inträffar på deras slutpunkter. Detta är särskilt viktigt eftersom slutpunkter ofta är den första ingångspunkten för illvilliga aktörer som försöker få åtkomst till en organisations nätverks- och informationssystem.
5. Åtkomstkontroll – Implementera procedurer och kontroller för att hantera vem som har åtkomst till nätverks- och informationssystem och vilka åtgärder de kan utföra.
6. Kryptering – Kryptering av känsliga data, till exempel personuppgifter, för att skydda dem från obehörig åtkomst eller stöld.
7. Brandvägg – Implementera brandväggar för att styra åtkomsten till och från organisationens nätverks- och informationssystem.
8. Programuppdateringar – Hålla programvaran uppdaterad med de senaste säkerhetskorrigeringarna och uppdateringarna för att åtgärda kända säkerhetsrisker.
9. Planering av incidenthantering – Utveckla och implementera en plan för att svara på säkerhetsincidenter, t.ex. cyberattacker, och minimera deras inverkan.
10. Regelbundna säkerhetsbedömningar – Regelbundet utvärdera säkerheten i organisationens nätverks- och informationssystem, identifiera sårbarheter och vidta åtgärder för att åtgärda dem.
11. Penetrationstester av applikationer – Penetrationstestning innebär att man simulerar en attack mot ett nätverk eller system för att identifiera eventuella säkerhetsbrister som en angripare kan utnyttja. Genom att utföra regelbundna penetrationstester kan organisationer identifiera och åtgärda säkerhetsrisker innan de utnyttjas av angripare.

Sammanfattningsvis är lämpliga åtgärder tekniska och organisatoriska åtgärder som organisationer måste genomföra för att säkerställa säkerheten i sina nätverks- och informationssystem och förhindra och minimera effekterna av säkerhetsincidenter, såsom cyberattacker. Vilka specifika åtgärder som är lämpliga beror på de specifika risker som organisationen står inför och de uppgifter den behandlar, men kort sagt är det svårt att se ett scenario där ovanstående åtgärder inte krävs.

Utbildning i säkerhetsmedvetenhet

Utbildning i säkerhetsmedvetenhet är en typisk lämplig åtgärd och lågt hängande frukt vid genomförandet av NIS2-direktivet.

Utbildning i säkerhetsmedvetenhet är viktigt eftersom mänskliga fel ofta är en viktig faktor vid säkerhetsincidenter, t.ex. dataintrång. Genom att ge anställda utbildning i hur man identifierar och reagerar på potentiella säkerhetshot kan organisationer minska risken för säkerhetsincidenter orsakade av mänskliga fel.

Utbildning i säkerhetsmedvetenhet kan till exempel omfatta ämnen som nätfiske, lösenordshantering och korrekt hantering av känslig information, bland annat. Genom att ge de anställda kunskap och färdigheter för att känna igen och reagera på potentiella säkerhetshot kan organisationer stärka sin övergripande säkerhetsställning och minska risken för säkerhetsincidenter orsakade av mänskliga fel.

Utbildning i säkerhetsmedvetenhet online för all personal är ett kostnadseffektivt sätt att förbättra säkerhetsställningen i alla organisationer. eBuilder Security erbjuder onlineutbildning i säkerhetsmedvetenhet som bygger på nanoutbildningar, dvs. korta videor som kan ses på i princip vilken mobiltelefon, surfplatta eller dator som helst. Tillsammans med regelbundna vänliga nätfiskeattacker för att mäta utbildningens effektivitet kan organisationens säkerhetsställning förbättras drastiskt.

Testning av nätverkspenetration

Nätverkspenetrationstestning är en process där man simulerar en attack mot en organisations nätverks- och informationssystem för att identifiera säkerhetsbrister. Genom att utföra nätverkspenetrationstester kan organisationer identifiera säkerhetsbrister och vidta åtgärder för att åtgärda dem innan de utnyttjas av illvilliga aktörer.

Nätverkspenetrationstestning kan till exempel omfatta tekniker som att söka efter sårbarheter, försöka utnyttja kända sårbarheter och försöka få obehörig åtkomst till system och data. Genom att utföra nätverkspenetrationstester kan organisationer identifiera säkerhetsbrister och vidta åtgärder för att åtgärda dem innan de utnyttjas av illvilliga aktörer.

Nätverkspenetrationstestning är en viktig komponent i ett omfattande cybersäkerhetsprogram och kan spela en avgörande roll för att säkerställa säkerheten i en organisations nätverks- och informationssystem. eBuilder Security erbjuder Network Penetration Testing som en tjänst. Skanningar kan köras regelbundet utan stora investeringar i licenser.

Genomsökning av sårbarheter i program

Sårbarhetsskanning av program är en process för att identifiera säkerhetsbrister i program, t.ex. webbprogram och mobilappar. Genom att utföra sårbarhetsskanning av applikationer kan organisationer identifiera säkerhetssvagheter och vidta åtgärder för att åtgärda dem innan de utnyttjas av skadliga aktörer.

Genomsökning av programsårbarheter kan till exempel omfatta tekniker som att söka efter sårbarheter, försöka utnyttja kända sårbarheter och försöka få obehörig åtkomst till system och data. Genom att utföra sårbarhetsskanning av applikationer kan organisationer identifiera säkerhetssvagheter och vidta åtgärder för att åtgärda dem innan de utnyttjas av skadliga aktörer.

Sårbarhetsskanning av applikationer är en viktig komponent i ett omfattande cybersäkerhetsprogram och kan spela en avgörande roll för att säkerställa säkerheten i en organisations nätverks- och informationssystem. eBuilder Security erbjuder Application Vulnerability Scanning som en tjänst. Det finns inga dyra licenser att betala och ingen komplicerad installation och underhåll av skanningsapplikationen. eBuilder Security hanterar allt detta åt dig som en del av tjänsten.

Skydd av slutpunkt

Slutpunktsskydd avser de säkerhetsåtgärder och tekniker som skyddar en organisations slutpunkter, t.ex. datorer, bärbara datorer, smartphones och andra internetanslutna enheter. Dessa åtgärder kan bland annat omfatta antivirus- och program mot skadlig kod, brandväggar och lösningar för identifiering och åtgärd på slutpunkt (EDR).

Genom att implementera slutpunktsskydd kan organisationer förebygga, upptäcka och reagera på säkerhetsincidenter som inträffar på deras slutpunkter. Detta är särskilt viktigt eftersom slutpunkter ofta är den första ingångspunkten för illvilliga aktörer som försöker få åtkomst till en organisations nätverks- och informationssystem.

Endpoint Protection-lösningar kan till exempel förhindra att skadlig kod installeras på en slutpunkt, identifiera skadlig aktivitet på slutpunkten och svara på säkerhetsincidenter genom att isolera infekterade slutpunkter och ta bort skadlig kod. Genom att implementera slutpunktsskydd kan organisationer minska risken för säkerhetsincidenter som orsakas av skadlig kod och stärka sin övergripande säkerhetsstatus.

Traditionella lösningar för slutpunktsskydd förlitar sig ofta på signaturbaserade identifieringsmetoder, som kan vara mindre effektiva mot nyare och mer sofistikerade säkerhetshot. CrowdStrike anses vara en nästa generations lösning för slutpunktsskydd på grund av dess molnbaserade arkitektur, användning av artificiell intelligens och maskininlärning och dess fokus på hotdetektering och svar i realtid.

Nästa generations lösningar för slutpunktsskydd skiljer sig från traditionella lösningar för slutpunktsskydd på flera sätt. Till exempel är nästa generations slutpunktsskyddslösningar ofta molnbaserade, vilket gör det möjligt för organisationer att få skyddsuppdateringar i realtid och ger möjlighet att snabbt reagera på säkerhetsincidenter. De använder också avancerad teknik som artificiell intelligens och maskininlärning för att upptäcka och förebygga säkerhetshot, vilket bidrar till att förbättra deras noggrannhet och svarshastighet.

CrowdStrikes molnbaserade tillvägagångssätt, användning av artificiell intelligens och maskininlärning och fokus på hotdetektering och respons i realtid gör det till ett bra exempel på nästa generations lösning för slutpunktsskydd.

eBuilder Security erbjuder Crowdstrikes slutpunktsskydd som en tjänst. Du bör överväga att ersätta ditt traditionella slutpunktsskydd med ett modernare nästa generations AI-baserade slutpunktsskydd.

Penetrationstestning

Penetrationstestning innebär att man simulerar en attack mot ett nätverk eller system för att identifiera eventuella säkerhetsbrister som en angripare kan utnyttja. Genom att utföra regelbundna penetrationstester kan organisationer identifiera och åtgärda säkerhetsrisker innan de utnyttjas av angripare.

Det är dock viktigt att notera att penetrationstestning bara är en del av ett omfattande säkerhetsprogram. Organisationer bör också genomföra andra tekniska och organisatoriska åtgärder, t.ex. åtkomstkontroller, kryptering, planering av incidenthantering och utbildning i säkerhetsmedvetenhet, för att följa NIS2-direktivet.

Dessutom bör organisationer se till att deras penetrationstester utförs av kvalificerade och erfarna yrkesmän och att deras tester utförs i enlighet med branschens bästa praxis och etiska riktlinjer. eBuilder Security utför djupgående penetrationstester för ett stort antal organisationer i Norden.