Så hjälper IBM:s automatiserade plattform dig att följa NIS2 och DORA

Snart införlivas två nya regelverk inom EU. Från och med 17 oktober i år måste berörda verksamheter uppfylla NIS2-direktivets krav, och den 17 januari nästa år tillämpas EU:s nya regelverk för finanssektorn: DORA (Digital Operational Resilience Act). Båda regelverken ställer nya krav på efterlevnad för berörda aktörer. 

– Historiskt kan man säga att det finns tre faser inom efterlevnad; att förbereda sig, att bli compliant, och att sedan fortsätta vara compliant. Procentuellt fördelas tiden för de tre faserna 10 procent, 10 procent och sedan 80 procent på att fortsätta vara compliant.

– Det här är en djungel där mänskliga faktorn spelar en stor roll. Personer flyttar data, skapar nya servrar eller byter tjänster eller företag samtidigt som gamla regelverk förändras och nya tillkommer, säger Jimi Inge, director of business development FSS EMEA, på IBM.

Den så kallade djungeln, med att följa rådande regelverk, är något som kan underlättas med IBM:s plattform SCC (Security and Compliance Center). SCC översätter nämligen facktermerna från regelverken, exempelvis DORA och NIS2, till tekniska kontroller. 

– Stora leverantörer går efter ISO-standarder och bryr sig inte nämnvärt om exempelvis NIS2 eller DORA. Det är ju inte de stora leverantörerna som blir av med banklicensen, de kan aldrig ta på sig complianceansvar, utan du måste själv ha stenkoll på dem.

Visas upp på it-nivå

I SCC:s dashboard visas inte säkerhetsluckorna upp på verksamhetsnivå utan på it-nivå, där de faktiska eventuella luckorna finns. Så om exempelvis en bank eller företag outsourcar sin it-drift till en stor leverantör blir det lättare att kravställa mot den.

– Om ett företag ser i sin dashboard att port 23X ligger öppen kanske det är svårt för dem att förstå, men leverantören förstår direkt. Så med SCC kan verksamheter kravställa rätt mot sina leverantörer. 

Verktyget scannar hela tiden av förändringar i regelverken och utför tekniska kontroller i dina servrar automatiserat.

– På så sätt får du svart på vitt ifall du följer regelverken som din verksamhet har på sig – det går inte att fuska. I dashboarden visas allt upp där du kan se dina efterlevnadsluckor och vad du behöver göra härnäst.

Agnostisk plattform

En usp med SCC är att det är en agnostisk plattform, som fungerar oavsett om du har din data on-prem eller i exempelvis AWS, Google Cloud eller Azure-miljöer. 

– En utmaning i dagsläget är att företags data kan finnas lite överallt. Delar av datan finns i diverse SaaS-tjänster, andra delar finns on-prem. Och med rådande AI-utveckling kommer det bli ännu svårare att ha koll på datakällorna. Med SCC återfinns allt i samma dashboard och man slipper ha olika dashboards för olika leverantörer. 

– En annan agnostisk fördel är ifall du skulle köra hela din last i exempelvis Azure, då vill du nog inte riskera en jävsituation där ett säkerhetsverktyg från Microsoft påvisar din efterlevnad. Då är det bättre med en tredjepartsleverantör – och där passar SCC bra.

DORA och NIS2 berör fler aktörer

En nyhet med NIS2 jämfört med det ursprungliga NIS-direktivet är att det berör många fler aktörer. Samma sak är det med DORA, som ställer samma krav på mindre fintechleverantörer som på stora banker.

– I Sverige har vi många startups inom finanssektorn som är superduktiga på det de gör men som har en compliance-skuld. De måste nu jobba hårt för att komma upp på samma efterlevnadsnivå som de stora bankerna, för DORA involverar alla inom finanssektorn – ingen är friskriven. 

– Samma sak är det för många aktörer som inte berördes av det ursprungliga NIS-direktivet men som nu kommer att omfattas av NIS2. Där finns mycket att göra – och att använda SCC är en bra start.