Cyberangreb spreder sig og bliver mere og mere sofistikerede. Angrebene i 2022 gjorde det klart, at cybertrusler som ransomware, phishing og præsidentsvindel ikke diskriminerer mellem små, mellemstore og store virksomheder. Denne tendens mod "forsyningskædeangreb", hvor underleverandører målretter deres kunders netværk, har været stigende med bemærkelsesværdige kompromitteringer som SolarWinds. I 2020 afslørede SolarWinds, en virksomhed der specialiserer sig i netværksadministration og IT-sikkerhedssoftware, at den var blevet infiltreret af cyberkriminelle, der kompromitterede deres Orion-software. Dette angreb gjorde det muligt for angriberne at distribuere ondsindede opdateringer til denne software til adskillige klientorganisationer. Angriberne formåede at indsætte ondsindet kode i opdateringer til SolarWinds Orion-software, hvilket førte til kompromittering af netværkene hos mange virksomheder og offentlige myndigheder, der bruger softwaren. Dette blev bredt omtalt. angrebet blev kaldt en "forsyningskæde" "angreb", fordi det udnyttede brugernes tillid til softwareopdateringer fra en velrenommeret kilde. SolarWinds-angrebet havde vidtrækkende konsekvenser og fremhævede potentielle sårbarheder i softwareforsyningskæden, hvilket fik mange virksomheder til at styrke deres sikkerhedsforanstaltninger for at beskytte sig mod sådanne angreb. I stedet for at angribe virksomheder vælger direkte Cyberkriminelle bruger i stigende grad deres underleverandører til lettere at trænge ind i deres kunders netværk. Alle virksomheder er nu sårbare over for cyberangreb. Små og mellemstore virksomheder er 4,5 gange mere tilbøjelige til at blive ofre for cyberangreb end større virksomheder tilsammen. De er specifikt målrettet mod malware, der kan kryptere deres informationssystemer og ødelægge deres sikkerhedskopier. Denne tilgang har vist sig at være i stand til at forårsage forretningsfejl i de mest alvorlige tilfælde. Dette understreger vigtigheden af, at alle virksomheder er forberedte på ethvert angreb.

På denne baggrund er NIS2-direktivet (direktivet om sikkerhed i net- og informationssystemer) en vigtig udvikling, der har til formål at styrke beskyttelsen af digitale infrastrukturer i Europa. NIS2-direktivet, efterfølgeren til NIS 1-direktivet, er et af en række større initiativer, der har til formål at skabe en mere robust og harmoniseret ramme for sikkerheden i net- og informationssystemer. For mange virksomheder er dette nye direktiv genstand for megen debat og spørgsmålstegn. Hvad vil dets indvirkning og betydning være for virksomheder og forvaltninger i EU?

Hvad er NIS2-direktivet?

NIS2-direktivet (netværks- og informationssikkerhed, version 2) er et Europæisk regulering designet til at harmonisere og styrke cybersikkerheden i EU. Det er efterfølgeren til NIS 1-direktivet og indfører nye foranstaltninger, der skal sikre et højt sikkerhedsniveau for netværks- og informationssystemer. NIS2-direktivet blev vedtaget i januar 2023. EU-medlemsstaterne vil have en vis tidsperiode til at implementere dette direktiv i deres nationale lovgivning.

Reklame

Hvem er berørt af NIS2?

NIS2-direktivet dækker en bred vifte af erhvervssektorer. NIS2-direktivet er rettet mod private virksomheder, offentlige forvaltninger og andre enheder, der opererer i EU.
Et af NIS2's strategiske mål er at udvide omfanget af NIS at dække operatører af essentielle tjenester og udbydere af digitale tjenester i sektorer, der anses for at være "kritiske for økonomien og samfundet". NIS2 vil dække udbydere af offentlige elektroniske kommunikationstjenester, digitale tjenester (som omfatter sociale netværksplatforme og datacentertjenester) og sundhedsydelser, herunder enheder, der opererer inden for medicinsk udstyr og biovidenskab, især farmaceutisk forskning og udvikling., og producenter af medicinsk udstyr.

NIS 2-direktivet vedrører primært to kategorier af enheder:

Operatører af essentielle tjenester (OSE): Essentielle enheder (EE), som allerede er inkluderet i den første version af NIS1-direktivet. OSE'er/EE'er er enheder, der driver tjenester, der er afgørende for samfundet og økonomien. Dette omfatter sektorer som energi, transport, sundhedspleje, bank- og finansielle tjenester, vand, digital infrastruktur og digitale tjenester.

Digitale tjenesteudbydere (DSP): Væsentlige enheder. DSP'er/IE'er er virksomheder eller organisationer, der leverer digitale tjenester, såsom cloudtjenester, onlineplatforme, søgemaskiner, e-handelstjenester og andre lignende tjenester. De er omfattet af direktivet, hvis de opfylder visse tærskler med hensyn til antallet af brugere eller den økonomiske værdi af de leverede tjenester.

I henhold til NIS 2-direktivet kvalificerer en enhed som væsentlig eller betydelig på grundlag af to kriterier:

• Virksomhedens størrelse (antal ansatte, salg, årlig balance);
• Erhvervskritik: hvilken type enhed refererer til de aktiviteter, som enheden udfører?

Hvad er de vigtigste ændringer i forhold til NIS1?

NIS 2-direktivet introducerer flere vigtige ændringer i forhold til NIS 1-direktivet, herunder:

Udvidelse af anvendelsesområdet: NIS2 udvider direktivets anvendelsesområde til en bredere vifte af erhvervssektorer og udbydere af digitale tjenester, hvilket betyder, at nye kategorier af virksomheder kan blive underlagt cybersikkerhedsforpligtelser.
Forbedrede sikkerhedskrav: Direktivet pålægger skærpede sikkerhedskrav, herunder strengere beredskabs- og hændelseshåndteringsforanstaltninger, samt strengere forpligtelser til at rapportere hændelser.
Sikkerhedsscore: NIS 2 introducerer et sikkerhedsscoringssystem til at vurdere modstandsdygtigheden af PSD'er og ESO'er. Dette vil give de kompetente myndigheder mulighed for at identificere aktører med højere sikkerhedsniveauer.

NIS 2-direktivet indfører adskillige nye forpligtelser for de berørte enheder. For vigtige og kritiske enheder skal der indføres nye tekniske, organisatoriske og operationelle foranstaltninger:

1. Kontraktlig forpligtelse til sikkerhed i forsyningskæden. Enheder skal sikre, at informationssikkerheden opretholdes i hele forsyningskæden. Det betyder, at leverandører, underleverandører og andre partnere også skal overholde passende sikkerhedsstandarder.
2. Indberetningspligt. Direktivet kræver, at sikkerhedshændelser med en betydelig indvirkning på kontinuiteten af essentielle tjenester skal rapporteres til de kompetente myndigheder inden for en bestemt tidsramme.
3. Ledelsesansvar. Ledelsen er ansvarlig for at sikre, at sikkerhedspolitikker og -procedurer implementeres, vedligeholdes og gennemgås regelmæssigt.

Hvilke foranstaltninger skal virksomheder og lokale myndigheder træffe for at overholde NIS2-direktivet?

Virksomheder og lokale myndigheder bliver nødt til at styrke deres sikkerhedsstandarder, etablere mekanismer til rapportering af hændelser og muligvis udføre risikovurderinger og sikkerhedsrevisioner. De bliver også nødt til at arbejde tæt sammen med de relevante nationale myndigheder.

Implementering af specifikke cybersikkerhedsforanstaltninger:

• implementering af risikoanalyse og sikkerhedspolitikker for informationssystemer. Hver enhed skal derfor gennemgå sin struktur for at vurdere cyberrisiko,
• hændelseshåndtering,
• Etabler forretningskontinuitetsplaner (BCP) og katastrofeberedskabsplaner (DRP). Foranstaltninger til at sikre driftskontinuitet i tilfælde af en hændelse. Dette omfatter f.eks. korrekt styring af backups og krisestyringsforanstaltninger.
• sikkerhed i forbindelse med anskaffelse, udvikling og vedligeholdelse af netværk og informationssystemer,
• vurdering af foranstaltninger til håndtering af cyberrisiko,
• anvendelsen af kryptografiske politikker og procedurer og brugen af kryptografiske teknikker til at kryptere information for bedre beskyttelse,
• Politikker for aktivstyring og adgangskontrol: eksemplarisk adgangskontrol for at undgå indtrængen og drage fordel af robust sikkerhed,
• træning af medarbejdere i god cyberhygiejne, herunder bedste praksis, der skal systematiseres i hele virksomheden,
• Implementering af multifaktor-godkendelsesløsninger. Multifaktor-godkendelse (MFA) og stærk godkendelse bør foretrækkes for øget sikkerhed.
• virksomhedernes forpligtelse til at udstede en første advarsel til ANSSI inden for 24 timer i tilfælde af en sikkerhedshændelse.

Hvilke risici står en virksomhed over for, hvis den ikke overholder dette direktiv?

Virksomheder, der ikke overholder NIS 2-direktivet, kan blive pålagt økonomiske sanktioner. NIS 2 vil indføre et bødesystem for manglende overholdelse. De maksimale potentielle bøder for manglende overholdelse kan beløbe sig til enten 10 millioner euro eller 2,1 TP3T af det globale årlige salg for "betydelige" enheder eller 7 millioner euro eller 1,4 TP3T af det globale årlige salg for "betydelige" enheder. Især hvor manglende overholdelse af NIS 2 også kan resultere i et brud på persondatasikkerheden, vil der ikke blive pålagt bøder i henhold til EU's NIS 2- og RGPD-systemer, hvis bruddet er et resultat af den samme sikkerhedshændelse. Desuden kan de i tilfælde af en sikkerhedshændelse som følge af manglende overholdelse holdes ansvarlige for enhver operationel eller økonomisk skade. Hver medlemsstat har til Oktober 2024 senest at implementere NIS2-direktivet i deres nationale regler. Det er tænkeligt, at nogle lande vil fremskynde processen, da de nationale versioner af NIS2 er baseret på de eksisterende nationale versioner af NIS1.

Ansvar for topledelsen

NIS 2-direktivet understreger den øverste ledelses ansvar i organisationer. Den øverste ledelse skal spille en aktiv rolle i styringen af cybersikkerhed og sikre, at der er truffet passende foranstaltninger til at beskytte netværk og informationssystemer.

Øg bevidstheden blandt teams og ledelse

Cybersikkerhedsbevidsthed er afgørende for at sikre overholdelse af NIS2-direktivet. Virksomheder skal investere i uddannelse af deres medarbejdere til at genkende og forebygge cybertrusler. Ledelsen skal også gøres opmærksom på vigtigheden af cybersikkerhed og overholdelse af direktivet.

NIS2-direktivet repræsenterer en vigtig milepæl i styrkelsen af cybersikkerheden i Europa. Virksomheder og lokale myndigheder skal straks træffe foranstaltninger for at overholde disse regler, styrke deres modstandsdygtighed over for cyberangreb og forhindre sikkerhedshændelser. Overholdelse af direktivet er afgørende for at undgå betydelige økonomiske sanktioner og beskytte din organisations omdømme og tillid. Der findes mange ressourcer, der kan hjælpe virksomheder med at overholde NIS2-direktivet, såsom vejledninger og anbefalinger udgivet af ANSSI (Agence nationale de la sécurité des systèmes d’information) i Frankrig. Det er også muligt at få hjælp fra specialiserede cybersikkerhedsudbydere til at støtte din virksomhed i dens indsats.

Altospams løsninger hjælper virksomheder med delvist at overholde NIS2-direktivet ved at styrke sikkerheden af deres e-mail (den første angrebsvektor) og beskytte deres informationssystemer mod cybertrusler. Altospams Mailsafe tilbyder avanceret beskyttelse mod trusler, herunder phishing-angreb, ransomware og malware. Løsningens anti-spam-, anti-phishing-, anti-ransomware- og anti-malware-filtre blokerer ondsindede e-mails, før de når brugernes indbakker. Altospams løsninger kan være en vigtig del af en virksomheds overordnede sikkerhedsstrategi for at opfylde NIS2-kravene. Fuld overholdelse kræver dog en holistisk tilgang til informationssikkerhed og risikostyring.