Nytt NIS2-direktiv: Nya regler för förbättrad cybersäkerhet

Cyberattacker förökar sig och blir allt mer sofistikerade. Attackerna 2022 gjorde det klart att cyberhot som ransomware , nätfiske och presidentbedrägerier inte gör någon skillnad mellan små, medelstora och stora företag. Denna trend mot “supply chain attacker”, där underleverantörer är inriktade på att infiltrera sina kunders nätverk, har ökat, med anmärkningsvärda kompromisser som SolarWinds. 2020 avslöjade SolarWinds, ett företag som specialiserat sig på nätverkshantering och IT-säkerhetsprogramvara, att det hade infiltrerats av cyberbrottslingar som äventyrat dess Orion-programvara. Denna attack gjorde det möjligt för angriparna att distribuera skadliga uppdateringar av denna programvara till många klientorganisationer. Angriparna lyckades infoga skadlig kod i uppdateringar för SolarWinds Orion-programvara, vilket ledde till att nätverken av många företag och statliga myndigheter som använder programvaran kompromissade. Denna brett publicerade attack kallades en “supply chain attack”, eftersom den utnyttjade användarnas förtroende för programuppdateringar från en ansedd källa. SolarWinds-attacken fick långtgående återverkningar och lyfte fram potentiella sårbarheter i mjukvaruförsörjningskedjan, vilket fick många företag att stärka sina säkerhetsåtgärder för att skydda sig mot sådana attacker. Istället för att attackera företag direkt väljer cyberkriminella i allt högre grad att gå via sina underleverantörer för att lättare sprida sig in i sina kunders nätverk. Alla företag är nu mottagliga för cyberattacker. Små och medelstora företag löper 4,5 gånger större risk att falla offer för cyberattacker än större företag tillsammans. De är särskilt riktade mot skadlig programvara som kan kryptera deras informationssystem och förstöra deras säkerhetskopior. Detta arbetssätt har visat sin förmåga att orsaka affärsmisslyckanden i de mest allvarliga fallen. Detta understryker vikten av att alla företag är förberedda på varje attack.

Mot denna bakgrund är NIS2-direktivet (direktivet om nätverks- och informationssystemsäkerhet) en stor utveckling som syftar till att stärka skyddet av digitala infrastrukturer i Europa. NIS2-direktivet, efterföljaren till NIS 1-direktivet, är ett av ett antal stora initiativ som syftar till att skapa ett mer robust och harmoniserat ramverk för nät- och informationssystemsäkerhet. För många företag är detta nya direktiv föremål för mycket debatt och ifrågasättande. Vad blir dess inverkan och betydelse för företag och förvaltningar i EU?

Vad är NIS2-direktivet?

NIS2-direktivet (Nätverks- och informationssäkerhet, version 2) är en europeisk förordning utformad för att harmonisera och stärka cybersäkerhet inom EU. Det är efterföljaren till NIS 1-direktivet och introducerar nya åtgärder för att säkerställa en hög säkerhetsnivå för nätverk och informationssystem. NIS2-direktivet antogs i januari 2023. EU:s medlemsländer kommer att ha en viss tid på sig att införliva detta direktiv i sin nationella lagstiftning.

Vem berörs av NIS2?

NIS2-direktivet täcker ett brett spektrum av affärssektorer. NIS2-direktivet riktar sig till privata företag, offentliga förvaltningar och andra enheter som verkar inom EU.
Ett av de strategiska målen för NIS2 är att utvidga omfattningen av NIS till att omfatta viktiga tjänsteoperatörer och digitala tjänsteleverantörer i sektorer som bedöms som “kritiska för ekonomin och samhället”. NIS2 kommer att täcka leverantörer av offentliga elektroniska kommunikationstjänster, digitala tjänster (som täcker plattformar för sociala nätverkstjänster och datacentertjänster) och hälso- och sjukvårdstjänster, inklusive enheter som är verksamma inom sektorerna för medicintekniska produkter och biovetenskaper, i synnerhet farmaceutisk forskning och utveckling, samt tillverkare av medicintekniska produkter.

NIS 2-direktivet berör huvudsakligen två kategorier av enheter:

Operators of Essential Services (OSE): Essential Entities (EE), som redan finns i den första versionen av NIS1-direktivet. OSEs / EEs är enheter som driver tjänster som är väsentliga för samhället och ekonomin. Detta inkluderar sektorer som energi, transport, sjukvård, bank och finansiella tjänster, vatten, digital infrastruktur och digitala tjänster.

Digitala tjänsteleverantörer (DSP): Betydande enheter. DSP/IE är företag eller organisationer som tillhandahåller digitala tjänster, såsom molntjänster, onlineplattformar, sökmotorer, e-handelstjänster och andra liknande tjänster. De omfattas av direktivet om de uppfyller vissa tröskelvillkor vad gäller antalet användare eller det ekonomiska värdet av de tillhandahållna tjänsterna.

Enligt NIS 2-direktivet kvalificeras en enhet som väsentlig eller betydande på grundval av två kriterier:

• Enhetens storlek (antal anställda, försäljning, årlig balansräkning);
• Näringslivets kritik: vilken typ av enhet avser verksamheten som utförs av enheten?

Vilka är de viktigaste förändringarna jämfört med NIS1?

NIS 2-direktivet inför flera viktiga ändringar jämfört med NIS 1-direktivet, inklusive:

Utvidgning av tillämpningsområdet: NIS2 utvidgar tillämpningsområdet för direktivet till att omfatta ett bredare utbud av affärssektorer och leverantörer av digitala tjänster. Företag i nya kategorier skulle därför kunna bli föremål för cybersäkerhetsskyldigheter.
Förbättrade säkerhetskrav: Direktivet ställer utökade säkerhetskrav, inklusive strängare beredskaps- och incidenthanteringsåtgärder, samt strängare skyldigheter att rapportera incidenter.
Säkerhetspoäng: NIS 2 introducerar ett säkerhetspoängsystem för att bedöma motståndskraften hos PSD:er och ESO:er. Detta kommer att göra det möjligt för behöriga myndigheter att identifiera spelare med högre säkerhetsnivåer.

NIS 2-direktivet inför flera nya skyldigheter för de berörda enheterna. För viktiga och viktiga enheter kommer nya tekniska, organisatoriska och operativa åtgärder att behöva införas:

1. Avtalsskyldighet för säkerhet i försörjningskedjan. Enheter måste garantera att informationssäkerheten upprätthålls genom hela försörjningskedjan. Detta innebär att leverantörer, underleverantörer och andra partners också måste följa lämpliga säkerhetsstandarder.
2. Rapporteringsskyldighet. Direktivet kräver att säkerhetsincidenter med betydande inverkan på kontinuiteten i väsentliga tjänster rapporteras till de behöriga myndigheterna inom en angiven tidsram.
3. Ledningsansvar. Ledningen ansvarar för att se till att säkerhetspolicyer och -procedurer implementeras, underhålls och ses över regelbundet.

Vilka åtgärder måste företag och lokala myndigheter vidta för att följa NIS2-direktivet?

Företag och lokala myndigheter kommer att behöva förstärka sina säkerhetsstandarder, inrätta incidentrapporteringsmekanismer och eventuellt genomföra riskbedömningar och säkerhetsrevisioner. De kommer också att behöva arbeta nära de relevanta nationella myndigheterna.

Genomförande av specifika cybersäkerhetsåtgärder:

• implementering av riskanalys och säkerhetspolicyer för informationssystem. Varje enhet måste därför granska sin struktur för att bedöma cyberrisken,
• incidenthantering,
• upprätta affärskontinuitetsplaner (BCP) och katastrofåterställningsplaner (DRP). Åtgärder för att säkerställa kontinuitet i verksamheten vid en incident. Det handlar till exempel om korrekt hantering av backuper och krishanteringsåtgärder.
• säkerhet vid förvärv, utveckling och underhåll av nätverk och informationssystem,
• bedömning av cyberriskhanteringsåtgärder,
• tillämpningen av kryptografiska policyer och procedurer, och användningen av kryptografiska tekniker för att kryptera information för bättre skydd,
• policyer för tillgångshantering och åtkomstkontroll: exemplarisk åtkomstkontroll, för att undvika intrång och dra nytta av robust säkerhet,
• utbildning av anställda i god cyberhygien, inklusive bästa praxis som ska systematiseras i hela företaget,
• implementering av multi-faktor autentiseringslösningar. Multi-factor authentication (MFA) och stark autentisering bör gynnas för ökad säkerhet.
• skyldigheten för företag att utfärda en första varning till ANSSI inom 24 timmar i händelse av en säkerhetsincident.

Vad riskerar ett företag om det inte följer detta direktiv?

Företag som inte följer NIS 2-direktivet kan få ekonomiska påföljder. NIS2 kommer att införa ett system med böter för bristande efterlevnad. Maximala potentiella böter för bristande efterlevnad kan uppgå till antingen 10 miljoner euro eller 2 % av den globala årliga försäljningen för “viktiga” enheter, eller 7 miljoner euro eller 1,4 % av den globala årliga försäljningen för “viktiga” enheter. Särskilt när bristande efterlevnad av NIS 2 också kan innebära ett personuppgiftsintrång, kommer inga böter att utdömas enligt EU:s NIS2- och RGPD-system, om överträdelsen är ett resultat av samma säkerhetshändelse. Vidare, i händelse av en säkerhetsincident till följd av bristande efterlevnad, kan de hållas ansvariga för eventuella operativa eller ekonomiska skador. Varje medlemsland har till oktober 2024 senast på sig att införliva NIS2-direktivet i sina nationella regler. Det är tänkbart att vissa länder kommer att påskynda processen, eftersom de nationella versionerna av NIS2 är baserade på de befintliga nationella versionerna av NIS1.

Ansvar för högsta ledningen

NIS 2-direktivet betonar ansvaret för den högsta ledningen inom organisationer. Högsta ledningen måste ta en aktiv roll i hanteringen av cybersäkerhet och se till att lämpliga åtgärder finns på plats för att skydda nätverk och informationssystem.

Öka medvetenheten bland team och ledning

Cybersäkerhetsmedvetenhet är avgörande för att säkerställa efterlevnad av NIS2-direktivet. Företag måste investera i att utbilda sin personal för att känna igen och förebygga cyberhot. Ledningen måste också göras medveten om vikten av cybersäkerhet och efterlevnad av direktivet.

NIS 2-direktivet utgör en viktig milstolpe i stärkandet av cybersäkerheten i Europa. Företag och lokala myndigheter måste vidta omedelbara åtgärder för att följa dessa regler, stärka sin motståndskraft mot cyberattacker och förhindra säkerhetsincidenter. Att följa direktivet är viktigt för att undvika betydande ekonomiska påföljder och skydda din organisations rykte och förtroende. Det finns många resurser tillgängliga för att hjälpa företag att följa NIS2-direktivet, till exempel de guider och rekommendationer som publicerats av ANSSI (Agence nationale de la sécurité des systèmes d’information) i Frankrike. Det är också möjligt att ta hjälp av specialiserade leverantörer av cybersäkerhetstjänster för att stödja ditt företag i dess ansträngningar.

Altospams lösningar hjälper företag att delvis följa NIS2-direktivet genom att stärka säkerheten för deras e-post (den första attackvektorn) och skydda deras informationssystem mot cyberhot. Altospams Mailsafe erbjuder avancerat skydd mot hot inklusive nätfiskeattacker, ransomware och skadlig programvara. Lösningens filter mot skräppost , nätfiske , ransomware och skadlig programvara blockerar skadlig e-post innan de når användarnas inkorgar. Altosspam-lösningar kan utgöra en viktig del av ett företags övergripande säkerhetsstrategi för att möta NIS2-kraven. Fullständig efterlevnad kräver dock ett holistiskt synsätt på informationssäkerhet och riskhantering.