Förbered din organisation för NIS2-direktivet

Publicerad 9 september 2024 i Advitum Svarar, Blogginlägg, Nyheter

Detta inlägg beskriver en modell för hur din organisation kan förhålla sig till och uppfylla kraven i NIS2-direktivet. Vi går också övergripande igenom vad NIS2 innebär.

Det finns ingen universell checklista för NIS2 eftersom varje organisation har unika förutsättningar. Det viktiga är att ha kontroll över och etablera bra processer och rutiner för att hantera säkerhet, särskilt cybersäkerhet som omfattar både IT och OT. Ett sätt att verifiera att man är redo för NIS2 är att luta sig mot ISO 27000-serien och eventuellt certifiera sig.

Vad är NIS2?

Jörg Wiesemann
Advitum AB

NIS2-direktivet syftar till att harmonisera säkerhetsnivåer för nätverk och informationssystem inom EU. En viktig skillnad jämfört med tidigare direktiv är tydligare ansvarsfördelning och rapportering av incidenter, med ett stort fokus på cybersäkerhet.

Ansvariga
VD och styrelse är ytterst ansvariga för att följa direktivet och detta ansvar kan inte delegeras. I extrema fall kan de bli personligt ansvariga.

Incidenthantering

NIS2 ställer specifika tidsramar för incidenthantering:

  • Tidigt varsel: Inom 24 timmar efter att en incident upptäckts ska en tidig varning skickas till relevant myndighet eller CSIRT.
  • Incidentanmälan: Inom 72 timmar efter upptäckt ska en detaljerad rapport lämnas in.
  • Slutlig rapport: En slutlig rapport ska lämnas inom en månad, innehållande fullständig beskrivning av incidenten, dess hottyp, vidtagna åtgärder och påverkan.

NIS2-direktivet

NIS2 är EU:s lagstiftning om cybersäkerhet, avsedd att stärka säkerheten inom unionen. Medlemsländer måste implementera direktivet senast 18 oktober 2024, med svensk lagstiftning som träder i kraft 1 januari 2025 enligt regeringens förslag.

Nödvändiga säkerhetsåtgärder:

  • Autentisering
  • Behörighets- och accesskontroll
  • Cyberhygien och utbildning
  • Incidenthantering
  • Kontinuitetsplanering och krishantering
  • Krypteringspolicy och processer
  • Riskhantering och säkerhetspolicy
  • Säker leverantörskedja
  • Säkra nätverks- och informationssystem

Sektorer och branscher som omfattas:

  • Energisektorn
  • Transportsektorn
  • Bank- och finanssektorn
  • Hälso- och sjukvård
    • Digitala tjänsteleverantörer
    • Vattenförsörjning och avloppshantering
    • Offentlig förvaltning
    • Livsmedels- och jordbrukssektorn
    • Kemikalieindustrin
    • Digitala tjänster för allmänheten

    Förberedelser för NIS2

    1. Bedöm påverkan och täckning:
      1. Fastställ om din organisation omfattas av NIS2.
      1. Samarbeta med experter eller konsulter specialiserade på NIS2.
    2. Styrelsemedvetenhet och planering:
      1. Utbilda styrelsen om NIS2 och dess konsekvenser.
      1. Utveckla en plan för att hantera krav.
    3. Tilldela resurser:
      1. Avsätt budgetar för NIS2-efterlevnad.
      1. Bilda ett dedikerat team för övervakning.
    4. Tidig implementering:
      1. Börja implementera åtgärder, strategier och rutiner nu för att säkerställa efterlevnad senast 2024.
      1. Använd säkerhetslösningar som Microsofts produkter i linje med NIS2.
    5. Riskanalys och kartläggning:
      1. Identifiera kritiska verksamheter och informationssystem.
      1. Utvärdera risker och sårbarheter.
    6. Utbildning och medvetenhet:
      1. Se till att medarbetarna är medvetna om cybersäkerhetsrisker och utbildade i säkerhetsåtgärder och incidenthantering.
    7. Implementera säkerhetsåtgärder:
      1. Autentisering och behörighetskontroll
      1. Kryptering för att skydda känslig information
      1. Incidenthanteringsprocess
      1. Tydliga säkerhetspolicyer och processer
      1. Säker leverantörskedja
      1. Överväg att implementera ISMS enligt ISO 27001
    8. Samarbete och informationsutbyte:
      1. Delta i samarbeten inom din sektor för att identifiera hot och bästa praxis.
    9. Uppdatera IT-infrastruktur:
      1. Förbättra nätverks- och informationssystem, uppdatera programvara och säkerhetspatchar.
    10. Öva och testa:
      1. Genomför regelbundna övningar och tester för att säkerställa säkerhetsåtgärdernas effektivitet.

    Hur går man till väga

    För att implementera dessa åtgärder bör man börja med en workshop där organisationens berörda delar deltar. Identifiera nuläget och ta fram en aktivitetslista, en så kallad GAP-analys. Om din verksamhet redan följer tidigare NIS-krav kan det räcka med att komplettera vissa områden för att nå NIS2-efterlevnad.

    Steg ett är att sätta sig i en workshop, gå igenom kravbilden och arbeta fram effektmålen och nödvändiga aktiviteter för att uppnå dem. Ett sätt är att skapa ett projekt för att driva utvecklingen mot NIS2-redo status.

    Advitum har tagit fram en mall för hur ett sådant arbete kan fungera i en organisation.
    Kontakta gärna oss för mer information.

    För mer information om NIS2-direktivet och de svenska myndigheternas roller kan du besöka:


      Advitums erfarenheter

      Advitum har expertkompetens och erfarenhet av att i många år ha arbetat med att hjälpa företag och organisationer att nå upp till högt ställda myndighetskrav gällande IT-säkerhet.
      NIS2 representerar ett betydande steg inom nätverks- och informationssäkerhet och utrustar organisationer med avancerade verktyg och strategier för att bekämpa det ständigt föränderliga landskapet av hot. I takt med att tekniken fortsätter att utvecklas blir det absolut nödvändigt att anamma direktiv som NIS2 eller nå upp till samma nivå för att säkerställa en säker och motståndskraftig digital framtid.

      Robert Kitanovski

      070-6812029

      robert.kitanovski@advitum.se

      Tillbaka

      Prenumerera på Advitums nyhetsbrev

      Om du väljer att prenumerera på vårt nyhetsbrev kommer du att erhålla information om vad som händer på Advitum, våra utbildningar och kundevent, nyttiga blogginlägg och viktiga produktnyheter. Självklart kan du säga upp din prenumeration med en enkel knapptryckning.