.png)
Du har kommit till den andra delen av vår bloggserie i tre delar om NIS2-direktivet. Kolla in den första delen som handlar om bakgrunden och orsakerna bakom NIS2-direktivet
Som nämndes i föregående del medför NIS2 några stora förändringar:
Även om NIS2 till största delen bygger på det ursprungliga NIS-direktivet, kommer det nya direktivet att innebära en del stora förändringar. Genom NIS2-direktivet införs en uppsättning förbättrade säkerhetskrav. Möjligheten att anpassa efterlevnaden av dessa krav togs bort, eftersom det ursprungliga NIS tillät sårbarheter på grund av den överdrivna flexibiliteten. NIS2 säkerställer att det inte finns något utrymme för sådana sårbarheter, eftersom det tydligt beskriver de regler som alla måste följa.
NIS2 listar 13 huvudteman för informationssäkerhet som organisationer måste beakta och implementera i sina egna informationssäkerhetsplaner. Här hittar du några av de mest relevanta urvalen. Du hittar den fullständiga NIS2-rapporten på Cyberday, som också innehåller prioriterade rekommendationer för åtgärder som motsvarar olika krav.
Organisationen bör ha tydligt definierade rutiner för hantering av informationssäkerhetsrisker, som används för att bedöma om de informationssäkerhetsåtgärder som organisationen har vidtagit är tillräckliga och för att identifiera de viktigaste utvecklingsområdena.
När väsentliga eller viktiga enheter får kännedom om en betydande incident måste de omedelbart skicka in en tidig varning inom 24 timmar. Detta bör följas av en incidentanmälan, som måste lämnas in utan dröjsmål och inom 72 timmar efter det att de fått kännedom om incidenten. Incidentmeddelandet ska innehålla en uppdaterad bedömning av incidenten, inklusive allvarlighetsgrad, påverkan och indikatorer på kompromettering om sådana finns tillgängliga. En slutrapport ska lämnas in inom en månad efter incidentanmälan.
Väsentliga och viktiga operatörer måste ta hand om personalens medvetenhet om informationssäkerhet genom vägledning och utbildning. Här bör processen omfatta ämnen som är viktiga för personalen, till exempel säker användning av enheter, programuppdateringar, säkert distansarbete samt identitets- och åtkomsthantering.
Supply chain security innebär att man granskar relationerna mellan organisation och leverantörer ur ett informationssäkerhetsperspektiv. Vilka är de kritiska partnerna när det gäller att leverera egna tjänster? Vilka krav på informationssäkerhet har ställts på dem och vilka bevis finns det för att dessa krav har uppfyllts?
I NIS2 är organisationer skyldiga att tydligare än tidigare investera i den här typen av analys av leveranskedjan och i att vidarebefordra informationssäkerhetskrav till viktiga partners.
För att säkerställa säker offentlig elektronisk kommunikation är det avgörande att främja end-to-end-kryptering och datacentrerade säkerhetskoncept. Leverantörer kan åläggas att införa end-to-end-kryptering med beaktande av säkerhetsintressen, allmän säkerhet och brottsbekämpande ansvar. Att bevara stark kryptering är avgörande för att skydda data, integritet och kommunikationssäkerhet.
Generellt sett behöver organisationer en plan för att täcka och övervaka alla ovanstående områden. NIS2 anger också att organisationers ledningsorgan måste godkänna t.ex. riskhanteringsåtgärder och övervaka genomförandet av organisationers cybersäkerhet i allmänhet. Detta kräver mer systematisk planering och verktyg för cybersäkerhet.
Varje medlemsstat måste utse eller inrätta en eller flera behöriga myndigheter som ska ansvara för att hantera betydande cybersäkerhetsincidenter och nödsituationer (s.k. cyberkrishanteringsmyndigheter). Det är medlemsstaternas ansvar att se till att dessa myndigheter har tillräckliga resurser för att på ett ändamålsenligt och effektivt sätt utföra de uppgifter som de tilldelats.
NIS2 kommer att omfatta en bredare uppsättning sektorer (listade nedan) än det ursprungliga NIS-direktivet. Sektorerna är indelade i väsentliga och viktiga enheter. Skillnaden mellan dessa två är att ett avbrott inom den viktiga gruppen förväntas få allvarliga konsekvenser för ett lands ekonomi och säkerhet.
Till skillnad från det ursprungliga NIS och dess OES:er kommer NIS2 att använda ett annat tillvägagångssätt. Ett "storlekstak" införs, vilket innebär att enheter inom följande sektorer som kategoriseras som medelstora eller stora av EU (mer än 50 anställda och/eller en årlig omsättning på mer än 10 miljoner euro) kommer att omfattas av NIS2. Enheter som definieras som kritiska i direktiv (EU) 2022/2557 kommer dock att omfattas oavsett storlek eller omsättning. Kritiska enheter omfattar de väsentliga enheter som visas nedan, samt produktion, bearbetning och distribution av livsmedel.
Direktivet är också tillämpligt på enheter som uppfyller följande kriterier:
Medlemsstaterna har möjlighet att låta detta direktiv omfatta enheter inom den offentliga förvaltningen på lokal nivå och utbildningsinstitutioner, särskilt sådana som bedriver kritisk forskning.
När det gäller tillsynen av väsentliga och viktiga enheter enligt NIS2-direktivet finns det vissa viktiga skillnader i tillvägagångssättet.
För samhällsviktiga enheter måste tillsynsmyndigheter och myndigheter säkerställa att de åtgärder som vidtas är tillräckligt kraftfulla för att effektivt minska riskerna och säkerställa säkerheten för samhällsviktiga tjänster. Målet är en motståndskraftig tillsyn som fungerar som en barriär mot eventuella störningar eller misslyckanden.
För viktiga enheter ligger fokus på att övervaka och åtgärda incidenter baserat på bevis eller information som tyder på bristande efterlevnad. Tillsynsmyndigheterna måste hålla ett öga på viktiga enheters verksamhet och vidta lämpliga åtgärder när incidenter inträffar. Fokus ligger på att snabbt upptäcka eventuella problem så att viktiga tjänster kan fortsätta att fungera smidigt.
Även om tillsynsnivån kan skilja sig åt är det slutliga målet att skydda både väsentliga och viktiga enheter och upprätthålla den övergripande säkerheten i den digitala infrastrukturen. De specifika kraven och tillsynsåtgärderna för varje kategori är utformade så att de motsvarar tjänsternas kritikalitet och potentiella inverkan, vilket säkerställer att lämpliga säkerhetsåtgärder vidtas och att eventuella överträdelser hanteras på ett korrekt sätt.
Om en operatör inte uppfyller kraven kan administrativa böter på upp till 10 miljoner euro eller 2% av den totala globala årsomsättningen utkrävas. I de allvarligaste fallen kan böter på upp till 20 miljoner euro eller 4% av den totala globala årsomsättningen utdömas.
Detta var den andra delen av vår bloggserie i tre delar om NIS2-direktivet. Läs den sista delen NIS2: bli kompatibel med Cyberday
Har du ytterligare frågor, skulle du behöva en annan hjälpartikel eller vill du ge feedback? Vänligen kontakta vårt team via team@cyberday.ai eller chattrutan i det nedre högra hörnet.
