I oktober, om bara några månader, kommer NIS 2 att bli lag och myndigheter kommer att kunna utföra tillsyn för att se om organisationer är kompatibla. Vårt råd är att börja förbereda dig nu, även om det ännu inte är fastställt exakt vad NIS 2 kommer att betyda för ditt lands lagstiftning. I det här blogginlägget kommer vi att klargöra vad NIS 2-direktivet innebär, saker att tänka på när man börjar förbereda sig inför den kommande lagen och hur man stärker sin informationssäkerhet.
Vad är nytt med NIS 2?
Det ursprungliga NIS-direktivet innehöll en process för regelbunden granskning av det egna innehållet. Detta har lett till ett föreslaget direktiv för länder i EU om åtgärder för en hög gemensam cybersäkerhetsnivå – detta kallas NIS 2.
NIS 2 innehåller aspekter som åtgärdar brister i det ursprungliga NIS-direktivet. Baserat på dessa brister har nya tillägg gjorts, vilket har resulterat i det nya förslaget NIS 2. Dessa är de mest framträdande tilläggen:
- Större skala än NIS, fler sektorer betraktas som viktiga tjänster
- Chefer hålls ansvariga för att säkra verksamheten.
- Incidentrapportering måste nu göras inom 24 timmar i stället för 72 timmar.
- Högre krav på säkerhet och rapportering, där en lista med minimumkrav måste uppfyllas
- Säkerhet för leverantörskedjor och leverantörer
- Striktare tillsynsåtgärder för nationella myndigheter
- Skillnaden mellan ”operators of essential services” och ”digital service providers” har tagits bort
- Striktare tillsynsåtgärder för nationella myndigheter, striktare efterlevnadskrav
- Harmonisera sanktionssystem mellan medlemsstaterna och möjliggöra administrativa viten. Böterna kommer att vara upp till 10 MEUR eller 2% av verksamhetens totala omsättning i hela världen.
- Cooperation Group får en större roll, samt ökad informationsdelning och samarbete mellan medlemsstaternas myndigheter
Vänta inte – börja stärka din informationssäkerhet nu!
I slutet av februari 2024 kommer det att klargöras vilka specifika krav den nya lagen kommer att ställa på organisationer i Sverige. Det är dock alltid bättre att vara förberedd och ha börjat arbeta med informationssäkerhet före detta datum – du kommer inte hinna om du börjar på ruta ett i slutet av februari. Och att söka hjälp hos konsulter vid den här tiden kan vara både svårt och dyrt.
Som tur är finns det mycket att göra och förbereda innan förtydligandena om NIS 2 kommer i slutet av februari. Här är åtta råd för att få din informationssäkerhet på rätt spår!
1. Inse att informationssäkerhet innebär mer än teknik
Idag hanteras mycket information i IT-system, vilket ofta medför att informationssäkerhet likställs med IT-säkerhet. Men, människor och processer måste också inkluderas, och alla delar är lika viktiga för att lyckas. För att skapa ett hållbart skydd krävs systematiskt och kontinuerligt arbete utifrån tillgångar, hot och risker.
2. Informationssäkerhetsarbetet bör kopplas till organisationens riskhantering
Allt säkerhetsarbete bör bottna i hur organisationen hanterar risker i den miljö där organisationen lever och verkar. Informationssäkerhetsrelaterade risker ska behandlas likadant som övriga risker.
3. Säkerställ att ledningen tar ansvar för informationssäkerheten
Ansvaret för säkerhetsarbetet måste alltid ligga hos ledningen, eftersom endast ledningen kan ta ett beslut att inte göra något åt säkerhetsriskerna. Med tanke på hur cyberattackerna ökar innebär ett beslut att inte investera i informationssäkerhet att man som verksamhet och ledning tar en oerhört stor finansiell risk.
4. Se över rutiner och processer
Informationssäkerhet omfattar hela organisationens verksamhet och all information, oavsett om den finns i datorer eller på papper. Börja kartlägga processer och rutiner, vem som har tillgång till vilken information och vilka system samt nivån på dagens säkerhetstänk.
5. Säkerställ rätt resurser
Informationssäkerhetsarbetet måste bedrivas systematiskt och kontinuerligt för att säkerställa en tillräcklig nivå av informationssäkerhet i organisationen. För framgångsrikt informationssäkerhetsarbete bör du säkerställa både ledningens engagemang och rätt resurser.
6. Inled informationssäkerhetsarbetet med en analys
Systematiskt informationssäkerhetsarbete måste alltid anpassas efter en organisations specifika omständigheter. Att börja med att analysera både omvärlden och den egna verksamheten rekommenderas. Baserat på resultatet kan beslut tas om vilka säkerhetsåtgärder som måste implementeras.
7. Utveckla en säkerhetspolicy (denna hjälper dig att upprätthålla informationssäkerhet)
Styrdokument såsom en säkerhetspolicy är det formella ramverket för organisationens informationssäkerhetsarbete. Dessa bör specifikt ange vad som ska vara tillgängligt, vilka åtgärder som ska vidtas och hur arbetet ska gå till.
8. Ta hjälp av de som kan informationssäkerhet
Att komma i gång med ett systematiskt informationssäkerhetsarbete är ett stort projekt som kan kännas lite övermäktigt att driva helt själv. Har du möjlighet så ta hjälp av någon som kan allt om informationssäkerhet.
Läs mer om informationssäkerhet!
Börja jobba med nätverkssegmentering
En viktig del i att förbättra din informationssäkerhet är att arbeta med nätverkssegmentering. Nätverkssegmentering i datanätverk innebär att dela upp ett datanätverk i delnätverk, där var och en är ett nätverkssegment. Fördelarna med sådan splittring är främst för att förbättra prestanda och förbättra säkerheten.
Här är fem steg som du kan använda som utgångspunkt när du börjar planera ditt segmenteringsprojekt:
- Skapa en zonmodell
- Definiera vad som ska segmenteras
- Gör en säkerhetsanalys av ingående system
- Partitionera systemen enligt zonmodellen
- Implementera, testa och driftsätt
Läs mer om hur du gör detta i vårt White Paper och i vår guide!
Förbered er på tillsyn
Det bästa sättet att ta sig igenom en tillsyn är att förbereda sig. Självklart genom att stärka din informationssäkerhet och se till att du uppfyller kraven i NIS 2, men även vad gäller dokumentation.
Att förbereda sig för en tillsyn kan ta lång tid, så att ha dokumenterat vad din organisation har gjort för att skydda din information kommer att spara dig mycket tid och stress om du är föremål för en tillsyn. Under en tillsyn är en metod att granska dokument, så se till att du har dokumenterat allt du behöver för en revision och att informationen är uppdaterad. Beständiga cybersäkerhetslösningar minskar bördan av att kontinuerligt behöva uppdatera dokumentationen.
Även om det inte är fastställt vad NIS 2 kommer att innebära för ditt lands lagstiftning än är det en god idé att börja dokumentera hur du arbetar med informationssäkerhet! Det är lättare att göra ändringar i dokumentationen under tiden än att börja från början i slutet av februari.
Har du några frågor, eller behöver du hjälp med att stärka din informationssäkerhet? Tveka inte att kontakta oss!
Läs mer om NIS-direktivet och NIS 2!