Redan 2016 antog EU det så kallade NIS-direktivet som syftar till att stärka skyddet av kritisk infrastruktur. Det innefattade skärpta krav på säkerhet i nätverk och informationssystem. Nu är ytterligare uppdaterade lagkrav på ingång, pådrivna från centralt europeiskt håll. Det handlar om ett fördjupat och uppdaterat direktiv som går under namnet NIS 2.
NIS 2 täpper till luckor
Införandet av detta uppdaterade direktiv ska förstås mot bakgrund av det första NIS-direktivet, som gav upphov till en alltför varierad tillämpning i länderna som det infördes. NIS 2 är tänkt att täppa till dessa luckor och tar särskilt sikte på cybersäkerhet, informationssäkerhet och incidentrapportering för leverantörer av samhällsviktiga- och vissa digitala tjänster.
NIS 2 beslutades om som EU-direktiv i slutet av 2022 och kommer införlivas senast 2024 i EU-medlemstaterna.
Norge ligger efter
I och med EU-medlemskapet, har Sverige, Danmark och Finland redan 2018 infört det första NIS-direktivet i sina respektive nationella rättssystem. Norge, i och med medlemskapet i EES (EØS) och som en del i harmoniseringen mot EU-området och de övriga nordiska länderna – har även för avsikt att införa det första direktivet. I skrivande stund är det första NIS-direktivet ännu inte infört i den norska rätten, men kommer i närtid att beslutas om ikraftträdande.
Det är alltså det första NIS-direktivet som nu är på väg att införlivas i den norska rätten, vilket innebär att NIS 2-direktivet kommer införas vid ett senare tillfälle i Norge. Sannolikt kommer det inte innebära motsvarande försening för NIS 2 som för NIS 1 för norskt vidkommande, då NIS 2 redan uppmärksammats från norskt förvaltningshåll.
Kunskapsglapp
Den samlade bilden från de tre paneldeltagarna på Sectech var att det finns ett kunskapsgap hos kunderna som ibland går ut över säkerheten. Kunderna drivs mer av möjligheterna än av de faktiska behoven.
– Det är inte fokus på säkerhet hos alla kunder, framförde Lars Eirik Berg som är CISO på HRP Sikkerhetsrådgivning.
– Dessutom efterfrågar kunderna enkelhet, adderade Jan Christen Danielsen, försäljningschef för Salto Systems i Norge.
Omvänd logik
Robert Jansson, försäljningsdirektör på Stid Security i Norden, menar att det idag finns brister när det gäller möjligheten att transportera identiteter. Därmed kan det lätt bli så att lagkraven kommer i skymundan.
– Vi är alla naiva när det gäller identitetshantering. Idag hanteras frågan om identiteter reaktivt, det är alltså något som kommer från utsidan och som påverkar insidan av verksamheten. Ordningen borde i stället vara från insidan mot utsidan. I det militära fick jag lära mig att tänka mål, metod och sist resurs. Bland företagen är logiken ibland den omvända – resurs finns, men målet och metoden blir underordnad, kommenterade han.
Regelefterlevnad en trend
Eftersom NIS-direktivet ännu inte är infört i Norge var det lite olika utgångspunkt kring existerande och inkommande lagområden hos paneldeltaarna. men att regelefterlevnaden är viktigt framöver var alla överens om. Lars Eirik Berg nämnde exempelvis att åtgärder för compliance med regelverken är på stark frammarsch i Norge.
Jan Christen Danielsen från Salto Systems lyfte ett särskilt känsligt område, nämligen ansiktsigenkänning, och pekade på behovet av ett livscykeltänk kring hanteringen av data.
– Ansiktsigenkänning är en utmaning att registrera, lagra men också att avregistrera.
Robert Jansson tryckte på möjligheterna med de nya lagområdena, särskilt kring området passerkontroll – som han menade är en av de mest konservativa och trögrörliga delarna av den elektroniska säkerhetsindustrin.
– Kommande EU-lagstiftning med införande av NIS kan ändra på det. Det kan till och med bli en gamechanger för passerkontrollmarknaden, kommenterade han.
Mobilen skapar tillväxt
Kombinationen av lagutveckling och teknikutveckling – särskilt kring mobilen som identitetsenhet i passersystem – skapar alltså möjlighet till en intressant dynamik kring området.
Möjligheten att med mobilen få en komplett transaktionslogg lyftes fram som ett exempel av Jan Christen Danielsen och fick stöd av Robert Jansson.
– Uppdatering av rättigheter och mjukvara kan förenklas betydligt med hjälp av mobilen.
Vem bär ansvaret?
Samtidigt lyftes även frågan om riskerna som uppstår kring människa och teknik i samverkan, där vissa menar att 80 procent av säkerheten ligger på användarens beteenden och 20 procent på tekniken.
Lars Eirik Berg lyfte användarfokuset till en högre verksamhetsnivå, då ansvaret kring eventuella felbeteende inte kan tillskrivas användaren.
– Lagen lägger ansvaret på verksamheten, verksamheten litar på leverantören och blir det problem finns det en risk att leverantören säger att de bara levererade det som kunden ville ha.
Dynamisk utveckling
Avslutningsvis är det tydligt att passerkontrollsområdet – enligt panelen – kommer utvecklas dynamiskt framöver. Något som drivs av teknikutveckling och lagområden som specifikt träffar hanteringen av identiteter och passager. Branschen är väl medveten om dessa lagområden, samtidigt som det säkert kommer uppstå osäkerheter kring det mer detaljerade införandet – både när det gäller teknik såväl som ansvarsfrågor.