Översikt över NIS2: Historik, huvudinnehåll och betydelse för högsta ledningen

NIS2 (The Network and Information Systems Directive 2) är EU:s nya regelverk för informationssäkerhet inom viktiga branscher.

Den sätter en ny ribba för informationssäkerhetsstandarder, utvidgar tillämpningsområdet från det ursprungliga NIS, inför strikta tillsynsaktiviteter för efterlevnad och även potentiella påföljder för överträdelser. Målet är att skydda Europas informationsinfrastruktur bättre.

Det är särskilt viktigt att notera att NIS2 inte bara fastställer standarder för organisatorisk cybersäkerhet, utan även håller högsta ledningen ansvarig för att uppnå dem. Försummelse eller otillräckligt engagemang i dessa föreskrifter kan få betydande rättsliga konsekvenser. Om du inte visar tillbörlig aktsamhet när det gäller att implementera robusta cybersäkerhetsåtgärder i enlighet med NIS2-standarderna kan den högsta ledningen hållas personligt ansvarig för eventuella säkerhetsbrister som uppstår.

Organisationens högsta ledning bör se en strategisk möjlighet att höja nivån när det gäller cyberförsvar och vaksamhet - inte bara risker och att-göra-uppgifter. I det här inlägget kommer vi att diskutera NIS2 i allmänhet och varför det kan vara vägen till hållbarhet och framgång för din verksamhet i den digitala tidsåldern om högsta ledningen engagerar sig i frågan.

NIS2 bakgrund

NIS2-direktivet, som efterträder det ursprungliga NIS-direktivet, är en del av EU:s ambitiösa planer på att säkerställa en hög gemensam nivå av cybersäkerhet i alla medlemsländer. NIS föreslogs ursprungligen redan 2013 och syftade till att uppnå en enhetlig strategi för cybersäkerhet. Men i takt med att cyberhoten blev mer komplexa och utbredda blev behovet av ett mer robust ramverk tydligt, vilket ledde till införandet av NIS2. Detta uppgraderade direktiv riktar sig till ett bredare spektrum av sektorer och lägger ett större ansvar på den högsta ledningen för att säkerställa att högre cybersäkerhetsstandarder implementeras, vilket återspeglar cybersäkerhetens betydelse i den moderna digitala tidsåldern.

Trots sina goda avsikter hade det ursprungliga NIS-direktivet flera brister som hindrade det från att uppnå en enhetlig strategi för cybersäkerhet i hela EU. Bland dessa brister kan nämnas följande:

• Otillräcklig räckvidd: Det ursprungliga NIS-direktivet gällde endast ett begränsat antal sektorer, vilket innebär att stora delar av den digitala ekonomin är sårbar för cyberhot.
• Inaktivt genomförande: Genomförandet av direktivet var i stort sett inkonsekvent, vilket resulterade i lika inkonsekventa cybersäkerhetsstandarder i olika stater.
• Otillräckligt fokus på den högsta ledningen: Det lades inte tillräcklig vikt vid den högsta ledningens ansvar för att säkerställa cybersäkerheten, vilket ledde till bristande ägarskap av cyberrisker på strategisk nivå.
• Brist på tydlighet: Många organisationer tyckte att de vaga definitionerna och otydliga riktlinjerna var svåra att tolka, vilket ledde till inkonsekvenser i tillämpningen.

Alla dessa brister har åtgärdats och "fixats" i NIS2. Detta har också inneburit att många saker nu definieras i detalj i det faktiska direktivet och att medlemsländerna kan göra mindre manövrer i den nationella lagstiftningen.

Vad är det viktigaste innehållet i NIS2?

NIS2-direktivet innehåller inga detaljerade säkerhetskrav för organisationer, men det innehåller 13 huvudområden för informationssäkerhet, för vilka organisationer måste ha dokumenterade rutiner. Dessa är de viktigaste NIS2-ämnena för vanliga organisationer. Dessa rutiner kan sedan begäras att levereras till myndigheter eller granskas för implementering, t.ex. vid en säkerhetsrevision.

NIS2:s viktigaste innehåll: 13 säkerhetsområden att dokumentera och implementera

NIS2 kräver att organisationer har dokumenterade åtgärder för:

• Riskhantering och säkerhet i informationssystem: Hur organisationen aktivt analyserar potentiella hot för att identifiera, utvärdera och hantera säkerhetsrisker. Detta kan omfatta användning av mallar för riskbedömning, identifiering av riskbedömare med lämplig kompetens och dokumentation av strategier för riskreducering.
• Incidenthantering och rapportering: De åtgärder som företaget har vidtagit för att identifiera, hantera och mildra eventuella säkerhetsincidenter som kan uppstå. Kommunikation spelar en avgörande roll här, eftersom det inte bara handlar om att upptäcka ett problem, utan också om att snabbt kunna dela den information som krävs med rätt team för att påskynda svarstiden. NIS2 kräver också att större incidenter rapporteras till den nationella tillsynsmyndigheten.
• Loggning och upptäckt: Hur din organisation systematiskt fångar upp, analyserar och hanterar cybersäkerhetsrelaterade händelser. Dina loggar ska inte bara registrera och dokumentera säkerhetsincidenter utan också ge tillräckligt med detaljer för att underlätta händelsekorrelation, anomalidetektering och incidentutredning.
• Affärskontinuitet och säkerhetskopiering: Hur organisationen avser att säkerställa att kritisk affärsverksamhet kan fortsätta utan avbrott, även under negativa händelser. Det kan handla om att ta fram omfattande kontinuitetsplaner, testa dem regelbundet och utbilda personalen. Att implementera och regelbundet testa robusta säkerhetskopieringsprocesser är också en viktig del av denna process.
• Säkerhet och övervakning av leveranskedjan: Hur organisationens upphandlingsavtal och val av partner säkerställer en godtagbar säkerhetsnivå. Det är till exempel mycket viktigt att noggrant utvärdera de säkerhetsåtgärder som tillhandahålls av tredjepartsleverantörer innan man ingår några outsourcingavtal. Det är också lika viktigt att regelbundet övervaka säkerheten i leverantörskedjan - och se till att alla partners kan rapportera om sina NIS2-åtgärder.  
• Förvärv och utveckling av säkra system: Hur din organisation förvärvar, utvecklar och hanterar säkerheten för system, applikationer och infrastruktur under hela deras livscykel. Åtgärderna bör omfatta t.ex. användning av metoder och arkitekturer som minimerar sårbarheter och säkerhetsrisker, användning av robusta säkerhetstester, riktlinjer för säker kodning och metoder för kontrollerade ändringar.
• Bedömning av säkerhetsåtgärdernas effektivitet: Hur du övervakar och testar organisationens cyberförsvar samt förbättringar som görs av informationssäkerheten. Detta kan omfatta revision, uppföljning av mätvärden, ledningens genomgångar eller mer tekniska metoder som sårbarhets- eller penetrationstestning. Det viktiga är att bedöma både implementeringen av säkerhetsåtgärderna och hur effektiva de är för att skydda organisationen.
• Rutiner och utbildning för cyberhygien: Hur du implementerar effektiva cyberhygienrutiner på alla nivåer. Detta bör omfatta saker som att hålla enheter säkra, upprätthålla god lösenordspraxis och använda e-post på ett säkert sätt för att förhindra phishing-attacker. Poängen är att vägleda alla medarbetare till säkra arbetssätt och på så sätt skapa en kultur av informationssäkerhet. Regelbundna och omfattande utbildningstillfällen kan bidra till att säkerställa att alla medarbetare förstår cyberriskerna och sin roll i att minska dem.
• Kryptering: Hur digital information, särskilt känsliga data, omvandlas till kod för att förhindra obehörig åtkomst. Det är viktigt att du förstår att kryptering inte bara innebär säker kommunikation över olika digitala plattformar, utan också effektiv hantering av krypteringsnycklarna.
• Personalsäkerhet: Hur din organisation säkerställer att anställda, entreprenörer och tredjepartsanvändare förstår och tar sitt ansvar för informationssäkerheten. Det är mycket viktigt att företag utvecklar robusta rekryteringsprocesser, inklusive bakgrundskontroller, för att ha en säker personalbas redan från början. En kultur som betonar nödvändigheten av informationssäkerhet, proportionerlig övervakning och t.ex. sekretessavtal kan ytterligare skydda en organisation mot interna hot.
• Åtkomstkontroll: Dessa åtgärder beskriver hur din organisation bestämmer vem som ska få tillgång till vilken information. Detta inkluderar att upprätta protokoll som rollbaserad åtkomsthantering och regelbundna åtkomstgranskningar. Rollbaserad åtkomstkontroll kan bidra till att säkerställa att endast nödvändig personal har tillgång till känsliga uppgifter, vilket minskar sannolikheten för oavsiktlig eller avsiktlig felaktig användning av uppgifter.
• Tillgångshantering: Hur din organisation identifierar och klassificerar sina informationstillgångar. En viktig del av denna process är att klargöra ägandet av tillgångarna och säkerställa att ägaren är ansvarig för att skydda tillgången. Det är också viktigt att se till att alla viktiga informationstillgångar klassificeras och skyddas på lämpligt sätt.
• Multifaktorautentisering (MFA): Hur din organisation använder extra lager av skydd utöver standardlösenordsprotokoll. Denna ökade bekräftelse syftar till att minska sannolikheten för nätverksstörningar och obehörig åtkomst. De metoder som används kan omfatta biometrisk verifiering, säkerhetstoken eller textmeddelanden utöver vanlig lösenordsinmatning. För att använda MFA på bred front krävs ofta också att medarbetarna utbildas i relaterade verktyg.

Särskilda krav för incidentrapportering och skydd av leveranskedjan

NIS2 innehåller också ytterligare åtgärder för incidenthantering och hantering av leveranskedjan.

Krav på incidentrapportering från NIS2

Det är viktigt att NIS2 erkänner att incidenter inträffar och kommer att fortsätta att göra det. Syftet med direktivet är inte att fördela skulden utan att säkerställa öppenhet, upprätthålla tillförlitlighet och främja utbyte av information och bästa praxis för att öka den övergripande motståndskraften mot säkerhetsproblem.

Organisationer är skyldiga att rapportera alla betydande säkerhetsincidenter som kan äventyra dess verksamhet eller de uppgifter som den innehar till myndigheter och tjänsteanvändare 24 timmar, 72 timmar och 30 dagar efter att incidenten upptäckts.

De första rapporterna måste innehålla grundläggande information och en bedömning av hur omfattande effekterna är. Den senare rapporten måste innehålla en detaljerad beskrivning av vad som hände, tillsammans med en analys av grundorsaken och de åtgärder som vidtagits med anledning av händelsen.

Krav på övervakning av leveranskedjan från NIS2

NIS2 innebär att du måste se till att din leveranskedja inte är den svagaste länken i den större cybersäkerhetsmatrisen. Det handlar inte längre bara om er omedelbara verksamhet, utan ert regleringsmandat omfattar även era tredjepartsleverantörer och tjänsteleverantörer.

Organisationer måste ha en god förståelse för sina egna leveranskedjor, särskilt när det gäller att svara på frågor som vilka är de kritiska aktörerna i leveransen av våra tjänster, vilken typ av försäkran vi har om deras säkerhetsnivå och hur vi övervakar deras säkerhet och ålägger dem att vidta vissa åtgärder?

Denna effekt kommer också att bredda NIS2-effekten till att inte bara omfatta de företag som direkt omfattas av NIS2, utan även deras viktigaste leverantörer.

NIS2-övervakning i ett nötskal

Det ursprungliga NIS hade tydliga brister när det gäller tillsyn. NIS2 försöker undvika detta genom att definiera tydliga minimimetoder för tillsyn på direktivnivå och bara lämna möjligheten att lägga till mer i de nationella lagarna.

I den nationella lagstiftningen för genomförandet av NIS2 kommer det naturligtvis att anges vilka myndigheter som ska övervaka genomförandet av NIS2 i det aktuella landet, och om övervakningen t.ex. är uppdelad på olika myndigheter per bransch.

Direktivet definierar minimimetoder för att utföra den övervakning som ska vara:

• Förfrågningar om information
• Begäran om mer detaljerad bevisning
• Kontroller på plats eller utanför plats
• Detaljerade säkerhetsrevisioner

Om bristande efterlevnad konstateras kommer t.ex. följande metoder att användas:

• Varningar
• Bindande instruktioner med tidsfrister
• Böter (max 10 miljoner euro eller 2% av den globala årsomsättningen)

Varför är NIS2 straregiskt betydelsefullt för den högsta ledningen?

NIS2 är mycket tydlig med att organisationens högsta ledning kan hållas ansvarig för bristande efterlevnad av artikel 21:s säkerhetskrav. Så enligt NIS2 är den högsta ledningens roll i informationssäkerheten åtminstone att:

• Acceptera säkerhetsåtgärderna för de 13 listade temana - och bekräfta att de är tillräckligt bra för att hålla informationssäkerhetsriskerna under kontroll
• övervaka och säkerställa genomförandet av dessa säkerhetsåtgärder
• Övervakning av säkerhetsåtgärder för leveranskedjan och incidentrapportering

I klartext innebär NIS2 att den högsta ledningens ansvar är betydligt mer än att bara vara informerad om cybersäkerhet. Det handlar om handling och ansvarstagande - att implementera regelverk, hantera risker och leda arbetet med att hantera cybersäkerhetsincidenter.

I ett bra informationssäkerhetsarbete deltar dessutom vanligtvis den högsta ledningen, åtminstone genom att fördela resurser, fastställa säkerhetsmål och visa engagemang för informationssäkerhet i allmänhet.

Detta innebär att den högsta ledningens roll medför både ett regulatoriskt och ett etiskt ansvar. NIS2 anser att den högsta ledningens aktiva medverkan och engagemang är avgörande för att uppnå sina mål.

Hur ska du förbereda din organisation? 3 nivåer för åtgärder.

Lätt nivå: Dokumentera dina rutiner genom att plocka lämpliga åtgärder från bästa praxis

Ett sätt att närma sig NIS2 är att jämföra de vanligaste standarderna för bästa praxis (t.ex. ISO 27001 eller NIST CSF) och därifrån leta efter mer detaljerade kontroller för hur de 13 säkerhetsområdena ska implementeras.

Du kan närma dig genom att titta utifrån perspektivet "vad har vi redan gjort", åtminstone delvis, för att snabbt komma igång.

Nackdelen med detta tillvägagångssätt är ofta att det inte leder till någon hållbar utveckling av informationssäkerheten på lång sikt, utan att det i slutändan blir en dokumentationsövning.

Medelhög nivå: Börja bygga upp ditt ISMS (baserat på bästa praxis)

Att ha ett ISMS (information security management system) skapar ett systematiskt tillvägagångssätt för informationssäkerhet genom att samla informationssäkerhetsrelaterad information på ett enda ställe, hjälpa dig att förstå din nuvarande säkerhetsnivå och möjliggöra en noggrann övervakning av säkerhetsåtgärder.

På så sätt kan du upprätthålla efterlevnaden på lång sikt och minska cybersäkerhetsriskerna genom att kontinuerligt förbättra dina säkerhetsåtgärder.

Stark nivå: Certifiera ditt ISMS mot ISO 27001

Att certifiera ditt ISMS (t.ex. mot ISO 27001) innebär att en extern, ackrediterad revisor har gått igenom ditt ISMS och säkerställt att det uppfyller kraven och kontrollerna i det valda ramverket.  

Detta tillvägagångssätt ger fördelar som obestridliga bevis på god säkerhetsnivå, som du inte bara kan använda för NIS2-övervakning, utan också för alla typer av försäljnings- eller samarbetsinsatser som involverar informationssäkerhetsperspektiv.

Slutsats

Avslutningsvis är det bra att förstå att NIS2-direktivet utgör en del av den större digitala omvandlingen i EU. Det kräver tydlighet från organisationerna - att de dokumenterar hur de har implementerat olika aspekter av informationssäkerhet och att de står bakom dessa val. Det innebär också att den högsta ledningen måste engagera sig i informationssäkerhet på en helt ny nivå.

Direktivets breda säkerhetsåtgärder och krav på incidentrapportering understryker en prioriteringsförskjutning mot ökad transparens, ansvarsskyldighet och övergripande motståndskraft mot cyberhot. Att genomföra NIS2 innebär utan tvekan ett stort åtagande, men fördelarna uppväger vida kostnaderna.

Att etablera ett ledningssystem för informationssäkerhet (ISMS), oavsett om du baserar det på andra bästa metoder eller siktar på ISO 27001-certifiering, är en beprövad väg till framgång. Men kom ihåg att det är en resa, inte en tävling. En stegvis strategi som anpassas till organisationens sammanhang, kapacitet och möjligheter ger hållbara resultat och bidrar till din långsiktiga digitala integritet.