I januari 2023 antog EU:s medlemsstater formellt en revidering av direktivet för nätverk och informationssystem (NIS) från 2016. Direktivet utformades som svar på flera välkända och skadliga cyberattacker, såsom WannaCry och NotPetya, som påverkade hundratals företag och organisationer över hela världen. NIS2-direktivet är den andra versionen av detta direktiv och syftar till att stärka EU:s motståndskraft mot cyberattacker och säkerställa att EU:s medlemsstater samarbetar effektivt vid cybersäkerhetsincidenter. I Sverige införs NIS2 i svensk lag i och med att Cybersäkerhetslagen träder i kraft januari 2025.
Vad är NIS2?
NIS2-direktivet innehåller flera förbättringar och förstärkningar jämfört med det tidigare NIS-direktivet. Det stärker säkerhetskraven för operatörer av viktiga tjänster och digitala tjänsteleverantörer, vilket inkluderar organisationer och företag inom sektorer som energi, transport, hälsa och finansiella tjänster. Detta inkluderar nya skyldigheter för att förebygga och hantera cybersäkerhetsincidenter, genom att identifiera och hantera sårbarheter i deras IT-system, samt rapportera incidenter till nationella myndigheter.
NIS2-direktivet innebär dessutom hårdare regler för tillsyn från nationella myndigheter och EU-kommissionen, för att säkerställa att operatörer av samhällsviktiga tjänster och digitala tjänsteleverantörer följer säkerhetsbestämmelserna. Det ställs även nya krav på medlemsländerna att samarbeta i hanteringen av cyberincidenter, för att effektivt hantera händelser som går över landsgränser.
Det reviderade direktivet är avsett att bättre skydda kritiska enheter mot sårbarheter i leverantörskedjan, ransomware-attacker och andra cyberhot. Samtliga 27 EU-medlemsstater måste införliva NIS2-direktivet i sina nationella lagar senast i oktober 2024. Som sagts tidigare så är det Cybersäkerhetslagen som implementerar NIS2 i svensk lag vilket förväntas ske i januari 2025. NIS2-direktivet förväntas ha en positiv inverkan på cybersäkerhet och minska risken för stora cyberattacker och deras påverkan på samhället och ekonomin.
Cybersäkerheten behöver stärkas
NIS2-direktivet syftar till att stärka säkerheten för operatörer av viktiga tjänster och digitala tjänsteleverantörer inom flera sektorer. Här är några av de främsta sektorerna som organisationer behöver stärka inom cybersäkerhet enligt NIS2:
Riskhantering
Organisationer som omfattas av NIS2-direktivet behöver ha en robust riskhanteringsprocess på plats för att identifiera, bedöma och hantera säkerhetsrisker. Detta inkluderar att utveckla och genomföra en lämplig säkerhetsstrategi och att ta hänsyn till säkerhetsrisker från tredje part.
Incidenthantering
De behöver ha en väldefinierad process för att hantera cybersäkerhetsincidenter. Detta inkluderar att ha en plan för incidenthantering, att rapportera incidenter till relevanta myndigheter och att genomföra åtgärder för att minimera skadan från en incident.
Säkerhetskultur
Organisationer behöver främja en stark säkerhetskultur genom att utbilda sin personal om säkerhetsrisker och genom att införa säkerhetsmedvetenhet som en del av sin dagliga verksamhet. Detta inkluderar att ha en tydlig ansvarsfördelning för cybersäkerhet inom organisationen och att främja säkerhetsmedvetenhet på alla nivåer.
Säkerhet vid leverantörsutbyte
Organisationer behöver ha en process för att hantera säkerhetsrisker från tredje part, särskilt i leverantörsutbyte. Detta inkluderar att utvärdera säkerhetsrisker från leverantörer och att säkerställa att leverantörer uppfyller relevanta säkerhetskrav.
Teknisk säkerhet
De behöver säkerställa att deras IT-system och nätverk är säkra och skyddade mot angrepp. Detta inkluderar att implementera lämpliga säkerhetsåtgärder såsom brandväggar, kryptering och säkerhetskopiering.
Dessa områden är bara några exempel på de främsta områdena som organisationer behöver stärka inom cybersäkerhet enligt NIS2-direktivet. Det är viktigt att organisationer noggrant utvärderar sina egna behov och följer de relevanta säkerhetskraven i direktivet för att skydda sig mot cyberattacker och uppfylla sina rapporteringsplikter.
Privilegierade konton och rättigheter
NIS2-direktivet innehåller särskilda bestämmelser om hantering av privilegierade konton och rättigheter. Enligt direktivet ska företag som omfattas av NIS2-direktivet vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa att användningen av privilegierade konton och rättigheter är begränsad och kontrollerad.
NIS2-direktivet kräver att organisationer identifierar privilegierade konton och rättigheter och begränsar deras användning till endast de personer som behöver använda dem för att utföra sina arbetsuppgifter. Organisationerna måste även se till att de personer som har tillgång till privilegierade konton och rättigheter har rätt kompetens och kunskap för att använda dem på ett säkert sätt.
NIS2-direktivet kräver också att organisationer genomför lämpliga säkerhetsåtgärder för att skydda privilegierade konton och rättigheter. Detta inkluderar åtgärder såsom att implementera stark autentisering och auktorisering för privilegierade konton, att begränsa möjligheten till fjärråtkomst till privilegierade konton och att säkerställa att användning av privilegierade konton och rättigheter loggas och granskas.
TIPS: Säkerställ efterlevnad av NIS2-direktivet
med Privileged Access Management
Läs artikeln
Genom att vidta lämpliga åtgärder för att hantera privilegierade konton och rättigheter kan organisationer minska risken för obehörig åtkomst och användning av sina system och nätverk. Detta kan också hjälpa organisationer att uppfylla sina rapporteringsplikter enligt NIS2-direktivet.
Med hjälp av verktygen PAM360 och ADManager Plus kan er organisation hantera era privilegierade konton.
Incident- och logghantering samt övervakning
NIS2-direktivet innehåller också bestämmelser om logghantering och övervakning. Enligt direktivet ska organisationer som omfattas av NIS2-direktivet genomföra lämpliga åtgärder för att säkerställa att de kan upptäcka och hantera säkerhetsincidenter i realtid. Detta innebär att organisationer måste ha effektiva metoder för att övervaka sina system och nätverk, samt för att registrera och analysera data om incidenter.
Verksamheter ska se till att deras loggar innehåller tillräcklig information för att möjliggöra effektiv analys och att de lagras på ett säkert sätt som skyddar mot obehörig åtkomst och manipulation. NIS2-direktivet kräver också att företag genomför lämpliga åtgärder för att säkerställa att loggar kan samlas in och analyseras på ett strukturerat sätt.
NIS2-direktivet kräver att verksamheter har ett effektivt system för incidenthantering och att de genomför lämpliga åtgärder för att skydda mot angripare som försöker dölja sina spår genom att manipulera loggar eller stänga av övervakningssystem. Organisationer ska ha en tydlig process för att rapportera säkerhetsincidenter till tillsynsmyndigheter och att informera berörda parter vid allvarliga incidenter.
Genom att vidta lämpliga åtgärder för logghantering och övervakning kan organisationer upptäcka och hantera säkerhetsincidenter i realtid och därmed minska risken för obehörig åtkomst och användning av sina system och nätverk. Detta kan också hjälpa företag att uppfylla sina rapporteringsplikter enligt NIS2-direktivet.
Med Log360 kan ni hantera era loggar och övervaka kritiska delar i er miljö. För att hantera incidenter utifrån ITIL och bestämda processer i er organisation är ServiceDesk Plus en heltäckande lösning. Om er organisation vill stärka endpoint skyddet samt få larm och se forensiska data kan vår EDR (Endpoint Detection and Response) från WithSecure täcka era behov.
Sårbarheter och patchning
Direktivet kräver att organisationer har en dokumenterad process för att hantera sårbarheter, inklusive patchhantering och att de har en effektiv process för att hantera incidenter som kan vara relaterade till sårbarheter och patchhantering. Detta hjälper verksamheter att minska risken för att drabbas av säkerhetsincidenter och uppfylla sina rapporteringsplikter enligt NIS2-direktivet.
TIPS: Din guide till effektiv patchning Läs artikeln
Senaste årens statistik visar att en mycket stor andel av intrång och säkerhetsincidenter beror på opatchade system och applikationer.
Med Vulnerability Manager Plus får du en robust lösning för patchning av hela er miljö, avancerad sårbarhetshantering och vägledning för att hantera eventuella misskonfigurationer av dina system. För en komplett säkerhet och hantering av endpoints finns Endpoint Central.
Sektorer som omfattas av NIS2
Åtgärder som måste vara på plats enligt NIS2
- Strategier för riskanalys och informationssystemens säkerhet.
- Incidenthantering.
- Driftskontinuitet, exempelvis hantering av säkerhetskopiering och katastrofhantering och krishantering.
- Säkerhet i leveranskedjan, inbegripet säkerhetsaspekter som rör förbindelserna mellan varje entitet och dess direkta leverantörer eller tjänsteleverantörer.
- Säkerhet vid förvärv, utveckling och underhåll av nätverks- och informationssystem, inbegripet hantering av sårbarheter och sårbarhetsinformation.
- Strategier och förfaranden för att bedöma effektiviteten i riskhanteringsåtgärderna för cybersäkerhet.
- Grundläggande praxis för cyberhygien och utbildning i cybersäkerhet.
- Strategier och förfaranden för användning av kryptografi och när så är lämpligt kryptering.
- Personalsäkerhet, strategier för åtkomstkontroll och tillgångsförvaltning.
- Användning inom entiteten, när så är lämpligt, av lösningar för multifaktorautentisering eller kontinuerlig autentisering, säker röst-, video- och textkommunikation och säkert nödkommunikationssystem.
Cyberhygien enligt NIS2
Enligt artikel 21 i NIS2 avser "cyberhygien" att tillhandahålla grunderna för att skydda nätverks- och informationssysteminfrastrukturer, hårdvara, programvara och säkerheten för onlineapplikationer och data som organisationer eller användare är beroende av. Cyberhygien innefattar en gemensam grunduppsättning av praxis, inklusive uppdateringar av programvara och hårdvara, ändringar av lösenord, hantering av nya installationer, begränsning av administratörskonton och säkerhetskopiering av data. Dessa praxis möjliggör en proaktiv ram för beredskap och övergripande säkerhet vid incidenter eller cyberhot.
Dessa åtgärder är hämtade direkt från NIS2-direktiven. Hela direktivet på svenska.
Hur kan Inuit hjälpa?
Inuit har verktyg som kan underlätta för organisationer att uppfylla kraven i NIS2 och samtidigt stärka säkerheten i din IT-miljö. Vi har samlat allt vårt material om NIS2 på denna sida. Exempel på det har nämnts i texten ovan. Ta kontakt med oss så berättar vi mer och visar hur det fungerar i praktiken.