Abonner

Hold deg oppdatert med de viktigste nyhetene

Ved å trykke på Abonner-knappen bekrefter du at du har lest og godtar våre personvernregler og bruksvilkår
Abonner
Facebook Twitter Instagram LinkedIn Pinterest
Kontakt oss

Nytt NIS2-direktiv: Nye regler for forbedret nettsikkerhet

IT-bransjenvedIT-bransjen
31. januar 2024
nis2-direktivet nis2-direktivet
nis2-direktivet

Cyberangrep sprer seg og blir stadig mer sofistikerte. Angrepene i 2022 gjorde det klart at cybertrusler som løsepengevirus, phishing og presidentsvindel ikke diskriminerer mellom små, mellomstore og store bedrifter. Denne trenden mot “forsyningskjedeangrep”, der underleverandører retter seg mot kundenes nettverk, har vært økende, med bemerkelsesverdige angrep som SolarWinds. I 2020 avslørte SolarWinds, et selskap som spesialiserer seg på nettverksadministrasjon og IT-sikkerhetsprogramvare, at det hadde blitt infiltrert av nettkriminelle som kompromitterte Orion-programvaren deres. Dette angrepet tillot angriperne å distribuere ondsinnede oppdateringer til denne programvaren til en rekke klientorganisasjoner. Angriperne klarte å sette inn ondsinnet kode i oppdateringer for SolarWinds Orion-programvaren, noe som førte til at nettverkene til mange selskaper og offentlige etater som bruker programvaren ble kompromittert. Dette ble bredt omtalt. angrepet ble kalt en “forsyningskjede» ”angrep» fordi det utnyttet brukernes tillit til programvareoppdateringer fra en pålitelig kilde. SolarWinds-angrepet hadde vidtrekkende konsekvenser og fremhevet potensielle sårbarheter i programvareforsyningskjeden, noe som fikk mange selskaper til å styrke sikkerhetstiltakene sine for å beskytte seg mot slike angrep. I stedet for å angripe selskaper velger direkte Nettkriminelle bruker i økende grad underleverandørene sine for å enklere trenge inn i kundenes nettverk. Alle selskaper er nå sårbare for nettangrep. Små og mellomstore bedrifter har 4,5 ganger større sannsynlighet for å bli ofre for cyberangrep enn større selskaper til sammen. De er spesifikt målrettet mot skadelig programvare som kan kryptere informasjonssystemene deres og ødelegge sikkerhetskopiene deres. Denne tilnærmingen har vist seg å kunne forårsake forretningssvikt i de mest alvorlige tilfellene. Dette understreker viktigheten av at alle selskaper er forberedt på ethvert angrep.

På denne bakgrunnen er NIS2-direktivet (direktiv om sikkerhet i nettverks- og informasjonssystemer) en viktig utvikling som tar sikte på å styrke beskyttelsen av digitale infrastrukturer i Europa. NIS2-direktivet, etterfølgeren til NIS 1-direktivet, er ett av en rekke store initiativer som tar sikte på å skape et mer robust og harmonisert rammeverk for sikkerheten i nettverks- og informasjonssystemer. For mange bedrifter er dette nye direktivet gjenstand for mye debatt og spørsmål. Hva vil dets innvirkning og betydning være for bedrifter og forvaltninger i EU?

nis2 Sverige
nis2 Sverige

Hva er NIS2-direktivet?

NIS2-direktivet (nettverks- og informasjonssikkerhet, versjon 2) er et Europeisk forskrift utformet for å harmonisere og styrke cybersikkerheten i EU. Det er etterfølgeren til NIS 1-direktivet og innfører nye tiltak for å sikre et høyt sikkerhetsnivå for nettverks- og informasjonssystemer. NIS2-direktivet ble vedtatt i januar 2023. EUs medlemsland vil ha en viss tidsperiode på seg til å implementere dette direktivet i sin nasjonale lovgivning.

Nytt NIS2-direktiv: Nye regler for forbedret cybersikkerhet | IT-bransjen
Annonse

Hvem er berørt av NIS2?

NIS2-direktivet dekker et bredt spekter av næringssektorer. NIS2-direktivet er rettet mot private selskaper, offentlige forvaltninger og andre enheter som opererer i EU.
Et av de strategiske målene for NIS2 er å utvide omfanget av NIS å dekke operatører av viktige tjenester og leverandører av digitale tjenester i sektorer som anses som “kritiske for økonomien og samfunnet”. NIS2 vil dekke leverandører av offentlige elektroniske kommunikasjonstjenester, digitale tjenester (som omfatter sosiale nettverksplattformer og datasentertjenester) og helsetjenester, inkludert enheter som opererer innen medisinsk utstyr og biovitenskap, særlig farmasøytisk forskning og utvikling, og produsenter av medisinsk utstyr.

NIS 2-direktivet gjelder hovedsakelig to kategorier av enheter:

Operatører av essensielle tjenester (OSE): Essensielle enheter (EE), allerede inkludert i den første versjonen av NIS1-direktivet. OSE-er/EE-er er enheter som driver tjenester som er essensielle for samfunnet og økonomien. Dette inkluderer sektorer som energi, transport, helsevesen, bank- og finanstjenester, vann, digital infrastruktur og digitale tjenester.

Digitale tjenesteleverandører (DSP): Vesentlige enheter. DSP-er/IE-er er selskaper eller organisasjoner som tilbyr digitale tjenester, som skytjenester, nettplattformer, søkemotorer, e-handelstjenester og andre lignende tjenester. De er dekket av direktivet dersom de oppfyller visse terskler når det gjelder antall brukere eller den økonomiske verdien av tjenestene som tilbys.

I henhold til NIS 2-direktivet kvalifiserer en enhet som vesentlig eller betydelig på grunnlag av to kriterier:

  • Størrelse på enheten (antall ansatte, salg, årlig balanse);
  • Forretningskritikk: hvilken type enhet refererer til aktivitetene som utføres av enheten?

Hva er de viktigste endringene sammenlignet med NIS1?

NIS 2-direktivet introduserer flere viktige endringer sammenlignet med NIS 1-direktivet, inkludert:

Utvidelse av anvendelsesområdet: NIS2 utvider direktivets virkeområde til et bredere spekter av næringssektorer og leverandører av digitale tjenester, noe som betyr at nye kategorier av virksomheter kan bli underlagt forpliktelser innen cybersikkerhet.
Forbedrede sikkerhetskrav: Direktivet stiller skjerpede sikkerhetskrav, inkludert strengere beredskaps- og hendelseshåndteringstiltak, samt strengere forpliktelser til å rapportere hendelser.
Sikkerhetspoengsum: NIS 2 introduserer et sikkerhetspoengsystem for å vurdere robustheten til PSD-er og ESO-er. Dette vil gjøre det mulig for kompetente myndigheter å identifisere aktører med høyere sikkerhetsnivåer.

NIS 2-direktivet innfører flere nye forpliktelser for de berørte enhetene. For viktige og kritiske enheter må det iverksettes nye tekniske, organisatoriske og operative tiltak:

  1. Kontraktsforpliktelse for sikkerhet i forsyningskjeden. Enheter må sørge for at informasjonssikkerheten opprettholdes gjennom hele forsyningskjeden. Dette betyr at leverandører, underleverandører og andre partnere også må overholde passende sikkerhetsstandarder.
  2. Rapporteringsplikt. Direktivet krever at sikkerhetshendelser med betydelig innvirkning på kontinuiteten i viktige tjenester rapporteres til de kompetente myndighetene innen en spesifisert tidsramme.
  3. Ledelsesansvar. Ledelsen er ansvarlig for å sørge for at sikkerhetspolicyer og -prosedyrer implementeres, vedlikeholdes og gjennomgås regelmessig.

Hvilke tiltak må bedrifter og lokale myndigheter iverksette for å overholde NIS2-direktivet?

Bedrifter og lokale myndigheter må styrke sikkerhetsstandardene sine, etablere mekanismer for hendelsesrapportering og muligens gjennomføre risikovurderinger og sikkerhetsrevisjoner. De må også samarbeide tett med relevante nasjonale myndigheter.

Implementering av spesifikke cybersikkerhetstiltak:

  • implementering av risikoanalyse og sikkerhetspolicyer for informasjonssystemer. Hver enhet må derfor gjennomgå sin struktur for å vurdere cyberrisiko,
  • hendelseshåndtering,
  • Etablere planer for forretningskontinuitet (BCP) og planer for katastrofegjenoppretting (DRP). Tiltak for å sikre driftskontinuitet i tilfelle en hendelse. Dette inkluderer for eksempel forsvarlig håndtering av sikkerhetskopier og krisehåndteringstiltak.
  • sikkerhet ved anskaffelse, utvikling og vedlikehold av nettverk og informasjonssystemer,
  • vurdering av tiltak for håndtering av cyberrisiko,
  • anvendelse av kryptografiske retningslinjer og prosedyrer, og bruk av kryptografiske teknikker for å kryptere informasjon for bedre beskyttelse,
  • retningslinjer for aktivaforvaltning og tilgangskontroll: eksemplarisk tilgangskontroll for å unngå inntrenging og dra nytte av robust sikkerhet,
  • opplæring av ansatte i god cyberhygiene, inkludert beste praksis som skal systematiseres i hele selskapet,
  • Implementering av flerfaktorautentiseringsløsninger. Flerfaktorautentisering (MFA) og sterk autentisering bør foretrekkes for økt sikkerhet.
  • plikten for selskaper til å utstede et første varsel til ANSSI innen 24 timer i tilfelle av en sikkerhetshendelse.

Hvilke risikoer står et selskap overfor hvis det ikke overholder dette direktivet?

Selskaper som ikke overholder NIS 2-direktivet kan bli ilagt økonomiske sanksjoner. NIS 2 vil innføre et system med bøter for manglende overholdelse. Maksimale potensielle bøter for manglende overholdelse kan utgjøre enten 10 millioner euro eller 2,1 TP3T av det globale årlige salget for “betydelige” enheter, eller 7 millioner euro eller 1,4 TP3T av det globale årlige salget for “betydelige” enheter. Spesielt der manglende overholdelse av NIS 2 også kan føre til et brudd på personopplysninger, vil det ikke bli ilagt bøter under EUs NIS 2- og RGPD-systemer, hvis bruddet er et resultat av den samme sikkerhetshendelsen. Videre, i tilfelle en sikkerhetshendelse som følge av manglende overholdelse, kan de holdes ansvarlige for driftsmessig eller økonomisk skade. Hver medlemsstat har til Oktober 2024 senest å implementere NIS2-direktivet i sine nasjonale regler. Det er tenkelig at noen land vil fremskynde prosessen, ettersom de nasjonale versjonene av NIS2 er basert på de eksisterende nasjonale versjonene av NIS1.

Ansvar for toppledelsen

NIS 2-direktivet vektlegger ansvaret til toppledelsen i organisasjoner. Toppledelsen må ta en aktiv rolle i håndteringen av cybersikkerhet og sørge for at det er iverksatt passende tiltak for å beskytte nettverk og informasjonssystemer.

Øk bevisstheten blant team og ledelse

Bevissthet om cybersikkerhet er avgjørende for å sikre samsvar med NIS2-direktivet. Bedrifter må investere i opplæring av sine ansatte for å gjenkjenne og forebygge cybertrusler. Ledelsen må også gjøres oppmerksom på viktigheten av cybersikkerhet og samsvar med direktivet.

NIS2-direktivet representerer en viktig milepæl i styrkingen av cybersikkerheten i Europa. Bedrifter og lokale myndigheter må iverksette umiddelbare tiltak for å overholde disse reglene, styrke sin motstandskraft mot cyberangrep og forhindre sikkerhetshendelser. Å overholde direktivet er viktig for å unngå betydelige økonomiske straffer og beskytte organisasjonens omdømme og tillit. Det finnes mange ressurser tilgjengelig for å hjelpe bedrifter med å overholde NIS2-direktivet, for eksempel veiledningene og anbefalingene publisert av ANSSI (Agence nationale de la sécurité des systèmes d’information) i Frankrike. Det er også mulig å få hjelp fra spesialiserte leverandører av cybersikkerhetstjenester for å støtte bedriften din i arbeidet.

Altospams løsninger hjelper bedrifter med å delvis overholde NIS2-direktivet ved å styrke sikkerheten til e-posten deres (den første angrepsvektoren) og beskytte informasjonssystemene deres mot cybertrusler. Altospams Mailsafe tilbyr avansert beskyttelse mot trusler, inkludert phishing-angrep, ransomware og skadelig programvare. Løsningens filtre mot spam, phishing, ransomware og malware blokkerer ondsinnede e-poster før de når brukernes innbokser. Altospams løsninger kan være en viktig del av et selskaps overordnede sikkerhetsstrategi for å oppfylle NIS2-krav. Full samsvar krever imidlertid en helhetlig tilnærming til informasjonssikkerhet og risikostyring.

Dele
Dele
Fest den
Tweet
Dele
Dele
IT-bransjenvedIT-bransjen
Publisert

Hold deg oppdatert med de viktigste nyhetene

Ved å trykke på Abonner-knappen bekrefter du at du har lest og godtar våre personvernregler og bruksvilkår
Hostinger reklamebanner
Annonse

LES MER