I takt med att cyberhoten ökar skärper regeringar sina regleringar för att skydda kritisk infrastruktur och känsliga data. EU:s direktiv om nätverks- och informationssäkerhet 2 (NIS2), som ersätter det ursprungliga NIS-direktivet från 2016, ska införlivas i svensk lag och förväntas träda i kraft i januari 2025. Det betyder att de organisationer som omfattas av NIS2 har kort tidsfrist för att förbereda sig inför direktivets verkställighet.
Informationsbehov
Vilka organisationer berörs, och vad är deras skyldigheter? Och viktigast av allt: hur påverkar NIS2 leverantörer och beställare av tekniska system för fysisk säkerhet? Det är frågor som Genetec, tillsammans med andra tillverkare inom säkerhet, hållit NIS2-seminarier om i Norden.
– Det finns ett behov av information om NIS2 och vad man ska tänka på som leverantör eller beställare av säkerhetssystem. Det märktes tydligt undet våra välbesökta seminarier.
Omfattar fler organisationer
Medan NIS1 primärt fokuserade på cybersäkerhet för kritisk infrastruktur som energi och telekommunikation, har NIS2 en mycket bredare räckvidd. Det nya direktivet skiljer mellan ”väsentliga” och ”viktiga” verksamheter, baserat på kriterier så som storlek och verksamhetens natur.
– Dess påverkan utsträcker sig nu även till digitala tjänsteleverantörer, deras kritiska leveranskedjor och offentliga förvaltningar. Denna bredare räckvidd understryker vikten av NIS2 för säkerhetsavdelningar, eftersom direktivet nu lika mycket betonar skydd mot både fysiska och digitala hot, kommenterar Andreas Silvede på Genetec som ser NIS2 som ett stort framsteg.
– Idag är cybersäkerhet och fysisk säkerhet alltmer sammankopplade för att säkerställa en total motståndskraft. Uppkomsten av smarta enheter som kameror, elektroniska lås och sensorer innebär att företag måste stärka sin fysiska säkerhet för att minska sårbarheten för cyberattacker, förklarar han vidare.
Krav på leverantörer
För att belysa skillnaden mellan NIS1 och NIS2 ger Andreas Silvede exempel.
– Om en cyberattack görs mot elektroniska lås och riskerar att ge obehöriga access till kritiska platser kan tillverkaren av låsen drabbas hårt. I NIS1 omfattades inte tillverkare av säkerhetslösningar, men i NIS2 ställs det krav på leverantörer som tillhandahåller säkerhetslösningar till samhällskritisk verksamhet. De måste därför anpassa sig till högre krav på cybersäkerhet.
Säkerhetsåtgärder som krävs
NIS2 kräver ut ansvar av sålunda alla berörda aktörer som kopplas till leveranser avseende kritisk infrastruktur. Mest ansvar vilar dock på beställaren och därmed säkerhetsansvariga på samhällskritiska verksamheter. De ska se till att robusta cybersäkerhetsåtgärder som skyddar nätverk och digitala system är implementerade. Följande krav inkluderas:
Identifiering av kritiska digitala tillgångar: Organisationer måste ha en komplett förteckning över sina kritiska tillgångar, inklusive programvara, känsliga data och utrustning.
Hantering av cyberrisker: Genomföra riskbedömningar för att identifiera potentiella hot och sårbarheter, samt skapa strategier för att minska dessa risker.
Implementering av säkerhetsåtgärder: Genomföra tekniska skyddsåtgärder som brandväggar, antivirusprogram och intrångsdetektering samt strikta säkerhetspolicys.
Rapportering av incidenter: Snabb och korrekt rapportering av cyberincidenter, särskilt om de påverkar driften eller informationssäkerheten.
Samarbete med myndigheter: Samarbete med nationella cybersäkerhetsmyndigheter och medverkan i hantering av cyberkriser.
Utbildning: Säkerställa att personalen är medveten om cybersäkerhetsrisker och utbildas i att använda ny teknik på ett säkert sätt.
Efterlevnad och bevis: Visa att man uppfyller NIS2-krav och kunna tillhandahålla bevis på detta.
Sanktioner vid bristande efterlevnad
Efterlevnad av NIS2 är inte bara en formalitet. Företag som misslyckas med att följa direktivet riskerar hårda böter. Andreas Silvede påpekar att sanktionerna kan uppgå till två procent av företagets globala omsättning.
– Föreställ dig ett säkerhetsföretag som drabbats av ett intrång i sitt videohanterings- eller passerkontrollsystem. Om de inte följer NIS2 kan de ekonomiska konsekvenserna bli förödande, säger han.
Andreas Silvede menar dock att professionella säkerhetsföretag kan förbereda sig för NIS2 genom att välja rätt tekniklösningar.
– Det är viktigt att centralisera säkerhetsdata för att minska riskerna, eftersom detta gör det möjligt för team att bättre fokusera på att identifiera och hantera hot.
Centraliserad säkerhetslösning
Självklart lyfter Andreas Silvede fram 2024 års stora produktlansering från Genetec – en öppen lösning som han menar kan underlätta kontroll och säkerställande av NIS2-efterlevnad.
– Genetec Security Center SaaS är en lösning som centraliserar och samlar säkerhetsdata i en enhetlig plattform, vilket möjliggör hantering, övervakning och utredning av incidenter. Denna molnbaserade lösning är utformad med fokus på både cybersäkerhet och integritet, konkluderar han.
Fotnot: För mer info logga in på www.genetec.com/a/nis2 och ladda ner vitboken ”Physical Security in the era of NIS2”.