Det reviderade europeiska nätverks- och informationssäkerhetsdirektivet, känt som NIS2, är ett viktigt steg mot att förbättra cybersäkerheten hos leverantörer av kritisk infrastruktur och digitala tjänster. Cybersäkerhetshoten utvecklas snabbt, och efterlevnad av NIS2-direktivet blir en grundsten för att stärka cyberförsvaret av EU och dess medlemsstater.
MFA – ett grundläggande krav
För att uppfylla kraven i NIS2 krävs det att berörda verksamheter investerar i cybersäkerhet, krishantering och nätverks- och applikationssäkerhet. Införandet av säkra digitala identiteter för medarbetarna inom verksamheterna är ett viktigt led i det arbetet och ligger väl i linje med NIS2-kraven. Att införa multifaktorsautentisering (MFA) uppfyller ett grundläggande krav i direktivet och är ett sätt att utföra säkra identitets- och åtkomstkontroller.
Två nya krav i nya NIS
Bristande efterlevnad kan leda till böter på upp till 10 miljoner euro eller 2 procent av årsomsättningen, och högre chefer kan potentiellt bli personligt ansvariga. Det blir obligatoriskt att följa NIS2, trots detta är många organisationer fortfarande omedvetna om det nya direktivet. Det finns två betydande förändringar i NIS2 jämfört med dess föregångare NIS1:
• Utökad omfattning: Omfattningen breddas avsevärt och betydligt fler organisationer berörs. Som ett exempel gällande utökningen kan man titta på Tyskland där antalet berörda verksamheter förväntas öka från 1 800 till 29 000. Utökningen omfattar mindre företag och sektorer som energi, transporter, bankverksamhet, infrastruktur för finansiella marknader, hälso- och sjukvård, dricksvattenförsörjning, avlopp, digital infrastruktur, offentliga tjänster och rymden. Vissa sektorer som redan tidigare berördes av NIS1 ser också att det nya direktivet omfattar fler aspekter, inte minst inom sektorerna hälso- och sjukvård och digital infrastruktur.
• Minimikrav för cybersäkerhet: Med NIS2 införs nya cybersäkerhetskrav som ger tydlig vägledning om de åtgärder som berörda verksamheter inom hela EU måste vidta för att hantera risker effektivt. Direktivet betonar att alla verksamheter måste ”vidta lämpliga och proportionella tekniska, driftsrelaterade och organisatoriska åtgärder för att hantera (sina cybersäkerhets-) risker”. Vidare understryker NIS2 uttryckligen att ”väsentliga och viktiga verksamheter bör anta ett brett spektrum av grundläggande cyberhygienrutiner, såsom zerotrust-principer för identitets- och tillträdeshantering”.
Bristande efterlevnad utgör stora risker
Konsekvenserna av bristande efterlevnad blir inte bara böter, utan kan potentiellt leda till dataintrång, ekonomisk förlust och ha betydande skadlig effekt på organisationens anseende. De senaste åren har visat att cyberattacker kan få långtgående effekter på företag och samhälle. Vidare säkerställer NIS2 ett enhetligt och harmoniserat förhållningssätt till cybersäkerhet inom hela EU. Det handlar om att uppfylla lagkrav och samtidigt bidra till ett tryggare och säkrare digitalt ekosystem.
Arbetet måste starta nu
Tidslinjen för att uppnå NIS2-efterlevnad har stor betydelse. Som organisation måste man investera både tid, resurser och expertis i den processen. Datumet för att införliva NIS2 i de 27 EU-medlemsstaternas nationella lagstiftning är fastställt till den 17 oktober 2024. Dock utgör detta datum inte den slutliga tidsfristen för berörda verksamheter att uppnå efterlevnad. Baserat på erfarenheter från tidigare EU-förordningar och EU-direktiv förväntas dock företagen uppfylla NIS2-kraven senast 2025. Beroende på vilken status verksamheten har och om man exempelvis redan uppfyller NIS bedöms det ta mellan 9 och 15 månader för en organisation att uppnå fullständig NIS2-efterlevnad. Mot den bakgrunden är det viktigt att starta arbetet redan nu med att göra en gap-analys samt budgetera och avsätta resurser för införandet under 2024.
Certifikatsbeserade identiteter
NIS2 kräver säkra identiteter för att möjliggöra säkerhet hela vägen och förhindra cyberattacker mot personalen och den moderna arbetsplatsen med dess föränderliga arbetsdynamik kan en public key infrastructure (PKI) användas för att utfärda certifikatbaserade identiteter. Säkra identiteter håller personalen och infrastrukturen trygga samtidigt som stark autentisering kan införas, vilket uppfyller identitets- och åtkomsthanteringskraven i NIS2.
Daniel Hjort
Marknadsdirektör på IN Groupe och Nexus