Så kan NIS2 utveckla din verksamhet
NIS2 innebär att samhällskritiska verksamheter omfattas av lagkrav beträffande säkerheten för sina respektive it- och OT-system. Den som inte kan visa hur ett intrång gått till, eller som inte segmenterar sina system ordentligt, riskerar sanktionsavgifter. I Ciscos rapport Säker digitalisering med NIS2 får du som berörs hjälp att komma igång med din NIS2-omställning – en omställning som kan bringa välbehövlig ordning och reda i datahanteringsarbetet.
– NIS2-direktivet är i min mening ett helt nödvändigt initiativ som skapats just för att vi är så totalt beroende av digitala lösningar. Att då negligera riskerna med detta kan leda till hiskeliga bakslag. Såväl Sverige som hela EU anser ju att det finns otroliga vinster att göra med digitaliseringen, men enbart om det sker på ett säkert sätt, säger Henrik Bergqvist, cybersäkerhetsexpert på Cisco Sverige.
I rapporten Säker digitalisering med NIS2 har Cisco tillsammans med Radar tagit fram en vägledning till alla beslutsfattare som arbetar i verksamheter som berörs av NIS2-direktivet.
Fler verksamheter – och risk för sanktionsavgifter
Den största skillnaden mot det första NIS-direktivet är att det nya berör många fler sektorer än tidigare. På ren svenska har EU har kommit fram till att det finns många branscher och näringslivsaktörer – alltifrån avloppshantering till finansiell verksamhet – som bör klassas som samhällskritiska, och inte enbart de inom offentlig sektor som omfattades av det första NIS-direktivet. I Sverige kan det handla om mellan 10 000 och 20 000 verksamheter.
Men det har också tillkommit en hel del justeringar. I första NIS fanns ingen sanktionsavgift à la GDPR för den som inte efterlevde målen om att kunna rapportera eventuella incidenter, medan detta finns med i NIS2. Dessutom har ansvaret för efterlevnad flyttats till högsta chefen för verksamheten, och om direktivet inte efterlevs kan konsekvensen bli näringsförbud.
– Det är höga krav på att ha en rapporterande funktion. Det ska vara lätt att kunna plocka data ur sina respektive system, för att se vad som har hänt och för att kunna följa hur eventuella intrång har gått till.
Möt ditt dåliga samvete
Så vad är då viktigt för en verksamhet att tänka på för att efterfölja direktivet? Enligt Henrik Bergqvist handlar det ofta om att en hel del dåliga samveten måste angripas.
– Det kan handla om att informationssäkra alla digitala tjänster som används, exempelvis genom multifaktorsautentisering.
Att det ska finnas vattentäta skott mellan it och det som kallas OT, alltså tekniken i exempelvis ett sjukhus, är ett annat område som NIS2 adresserar särskilt.
– Det handlar om att ha en väl segmenterad infrastruktur, det vill säga att om en personaldator på ett sjukhus blir hackad, är det inte okej att samma hackare kan ta sig från den datorn till röntgenmaskiner eller annan livskritisk sjukhusutrustning.
Nödvändig intrångsdetektering
OT-säkerheten är också i fokus när det handlar om intrångsdetektering. Många verksamheter har idag olika slags detekteringsmekanismer på sina Windowskontrollerade datorer men, frågar sig Henrik Bergqvist retoriskt, finns liknande verktyg på övervakningskameror och röntgenmaskinerna?
– Detta måste finnas, och ska vara oberoende den mjukvara som finns i verksamhetens övriga it-utrustning.
Många verksamheter med OT-utrustning vill ju sammankoppla den med it av effektiviseringsskäl. Hur ska de tänka?
– Vi på Cisco ser digitalisering som en möjliggörare, och är positiva till att en digitaliserad produktion blir mer effektiv. Men för att du ska kunna digitalisera, måste vissa säkerhetsåtgärder ha uppfyllts. Är de inte det, riskerar faktiskt hela digitaliseringsprojektet att krascha.
Tio till tjugo procent extra i budget
Verksamheter som omfattades av det första NIS-direktivet ligger enligt Henrik Bergqvist ganska bra till, och behöver kanske ”bara” öka sin budgetering för NIS2 med tio procent. Men för de som ska börja från noll behöver säkerhetsutgifterna antagligen öka med 20 procent de närmaste åren.
NIS2-direktivet är i min mening ett helt nödvändigt initiativ som skapats just för att vi är så totalt beroende av digitala lösningar.
Hur vänder man detta projekt från att bli en börda till att snarare bli en lättnad?
– De flesta chefer inom it och it-säkerhet ser detta som en möjliggörare. Nu kan man gå till ledningen och säga att detta är ett krav som måste följas. Det kan ofta handla om att strukturera data, rensa ut sådant som inte behövs och helt enkelt systematisera bättre. Ofta är det åtgärder som borde ha gjorts för länge sedan, men som inte prioriterats.
Ta hjälp av Cisco
För att komma igång kan det vara en god idé att träffa Cisco, skissa upp vad som har gjorts och vad målet är, och sedan utgå från det för att se vad som måste göras.
– Vi har naturligtvis tekniska lösningar som kan hjälpa dig hela vägen, men det spelar ingen roll hur investerad du är i Cisco idag för att vi ska kunna hjälpa dig. Mycket av arbetet handlar om systemintegration, och i det arbetet samarbetar vi med bland andra Atea för att nå dem som är intresserade av det vi har att erbjuda.
Henrik Bergqvists tre tips för att fixa NIS2
- Samla ihop de människor som berörs, från verksamhetschefer till jurister. Engagera en partner som Cisco och Atea, för att komma igång.
- Arbeta med ett säkerhetsramverk. Om du redan arbetar med ett ramverk som ISO27001, CIS Controls eller NIST har du bra förutsättningar. Då kan du vid en revision visa upp att du har ett systematiskt säkerhetsarbete.
- Prioritera. Gör inte allt på en gång, utan fundera på vad som är viktigast, och se först till att detta skyddas.
Läs mer om ämnet: