2022-11-14

Smarta byggnader – Del 8 av 11

NIS-kompatibla passersystem är en viktig säkerhetsfråga

Robert Jansson, försäljningsdirektör för Stid Security i Norden.

Robert Jansson, försäljningsdirektör för Stid Security i Norden.

Det uppkopplade samhällets möjligheter och utmaningar talas det mycket om. Men kring NIS-direktivet är det relativt tyst, tycker Robert Jansson, nordisk försäljningsdirektör för Stid Security, som engagerat sig hårt i frågan.

– NIS blir lag 2025 och berör säkerhetsbranschen i största allmänhet och alla levererar system som hanterar identiteter i synnerhet, säger han.

Med en global utveckling mot allt fler smarta byggnader och smarta städer där sensorer fångar upp händelser och där identiteter och annan data samlas in, lagras samt analyseras för att på olika sätt effektivisera verksamheter och processer. Möjligheterna är oändliga, men det är också sant att sårbarheterna ökar i takt med att IoT-samhället breder ut sig. För kritisk infrastruktur är det särskilt allvarligt.

Därför har EU-ländernas gemensamma cybersäkerhetsorgan Enisa lanserat NIS, the Directive on security of network and information systems, som ställer krav på säkerhet i nätverk och informationssystem. Den kommande NIS-lagen omfattar alla företag som levererar samhällsviktiga tjänster och vissa digitala tjänster omfattas av NIS-lagen.

Skillnad på GDPR och NIS

Att NIS efterlevnad kommer att skärpas via svensk lagstiftning för tankarna till GDPR som blev svensk lag 2018. Skillnaden är dock att NIS är ett EU-direktiv med syftet att öka Europas motståndskraft mot cyberattacker genom att skydda IT-system och infrastruktur. Syftet med GDPR är att skydda personuppgifter.

En annan skillnad är att GDPR är en EU-förordning som direkt kan tillämpas i medlemsstaternas rättssystem medan NIS är ett direktiv som tillämpas genom att varje medlemsstat inför lokala lagar i de lokala rättssystemen.

Viktig säkerhetsfråga

Robert Jansson har i intervjuer och i debattartiklar tagit upp betydelsen av att leverantörer och användare av system för ID-hantering och passerkontroll börjar diskutera NIS. På Skyddmässan deltar han i en paneldiskussion i ämnet.

– Säkerhetsbranschens aktörer inom passerkontroll måste påbörja sin resa nu. NIS-kompatibla passersystem är en viktig säkerhetsfråga, inte bara för branschen utan för samhället i stort.
– NIS-direktivet ska höja EU-medlemsstaternas skyddsnivå när det gäller samhällskritisk infrastruktur. Därför blir direktivet lag i Sverige och övriga EU-länder 2025, säger Robert Jansson.

Franskt initiativ bakom NIS

Att Stid Security engagerat sig hårt i NIS har en historisk bakgrund. Stid Security är en fransk tillverkare och utvecklare av smarta identifieringslösningar och det var i Frankrike som arbetet med att skydda personlig identitet började, enligt Robert Jansson.

– Där fanns redan en nationell lagstiftning rörande identitetsskydd, långt innan GDPR blev lag i EU-länderna. Det var också franska myndigheter som ville skapa en ordning som tydliggjorde hur olika system blir GDPR-kompatibla, berättar Robert Jansson.

– Den franska cybersäkerhetsmyndigheten Agence Nationale de la Sécurité des Systèmes d’information (Anssi) fick i uppdrag att skapa en norm som i tydliga steg beskrev hur man ska bygga system som säkrar skydd av den personliga identiteten.

GDPR räcker inte

Att NIS-direktivet behövs belyser Robert Jansson genom att exemplifiera med ett företag som har biometrisk lösning för passerkontroll.

– Den biometriska signaturen lagras i en hårdvara, system eller i molnet. Leverantören hävdar att lösningen är säker och godkänd då den är krypterad och ingen kan läsa informationen som lagras i ett EU-land. Dessutom är tillverkaren eller lösningens leverantör ett känt företag med hemhörighet i ett EUland. Det kan låta tryggt, men det är det inte, säger han.

– Det viktiga är ju vem som har tillgång till nyckeln. Om lösningen säljs till ett företag i ett som är tämligen ointresserat av den europeiska GDPR-lagstiftningen så har de tillgång till användarnas biometriska värden, det vill säga identiteten. I värsta fall kan personers biometriska data komma att köpas av högstbjudande och användas på ett sätt som inte är förenligt med europeiska lagstiftningar och etiska riktlinjer.

NIS kompletterar GDPR

NIS kommer att introduceras i januari 2023 och alla länder har sedan två år på sig att implementera det som direktivet kräver innan NIS blir lag 2025.

– NIS tydliggör hur identiteter i ett passersystem kan och ska skyddas. Exemplet med den biometriska signaturen, är bara en variant på hur identiteter i ett passersystem kan komma på drift, säger Robert Jansson.

Viktigt med dialog

I Sverige förefaller leverantörerna av passerkontroll inte vara överdrivet intresserade av att offentligt diskutera NIS. Många som inbjudits till Skydd för att diskutera ämnet har tackat nej. Vad beror det på?

– Kanske beror det på att man har otillräcklig kunskap och att man ligger sent i processen. Jag hoppas inte att det är så. En öppen dialog mellan oss leverantörer där vi diskuterar vägen fram mot NIS-kompatibla lösningar för system som hanterar ID- och passerkontroll borde vara en självklarhet, säger Robert Jansson menar att Stid Security har mycket att erbjuda i en sådan dialog.

– Vi har följt hela utvecklingen av NIS-direktivet och gjort teknologin tillgänglig på SPAC:s webbsida. Allt som krävs för att uppfylla lagen och hantera alla flöden av identiteter och identitetsrelaterad information kan nedladdas kostnadsfritt där.


Fotnot: Organisationen SPAC representerar europeisk teknologi och standarder och arbetar för att säkra identitetsrelaterad information.

Den här artikeln/artikelserien har producerats av facktidningen Detektor i samarbete med SecurityUser.com.



Leverantörer
Ändra marknad
Till toppen av sidan
Stäng