Hur man anpassar sig till det nya direktivet NIS 2

NIS 2-direktivet trädde i kraft i oktober 2024 och nu behöver alla som berörs anpassa sin verksamhet. Det uppdaterade direktivet gäller bland annat fler sektorer, har fler tillägg och innebär ett ökat fokus på kryptering.

Hur man anpassar sig till NIS 2

NIS-direktivet syftar till att främja säkerhetsåtgärder och höja EU:s medlemsländers skyddsnivå för kritisk infrastruktur. Med andra ord förbättrar det informationssäkerheten för operatörer i sektorer som tillhandahåller viktiga tjänster till vårt samhälle . I oktober 2024 trädde NIS 2-direktivet i kraft och nu ska alla som berörs ha anpassat sin verksamhet. Det uppdaterade direktivet gäller bland annat fler sektorer och fler tillägg.

Här är de mest framträdande nya tilläggen i NIS 2:

• Större skala än NIS, fler sektorer betraktas som väsentliga tjänster
• Chefer hålls ansvariga för att säkra verksamheten.
• Incidentrapportering ska nu göras inom 24 timmar istället för 72 timmar.
• Högre krav på säkerhet och rapportering där en minimikravlista ska följas
• Säkerhet för leveranskedjor och leverantörer
• Strängare tillsynsåtgärder för nationella myndigheter
• Avskaffande av skillnaden mellan operatörer av väsentliga tjänster och leverantörer av digitala tjänster
• Strängare tillsynsåtgärder för nationella myndigheter, hårdare tillämpningskrav
• Syftar till att harmonisera sanktionssystem mellan medlemsstaterna, vilket möjliggör att administrativa böter bör utfärdas. Böterna kommer att vara upp till 10 miljoner euro eller 2 % av företagets totala globala omsättning, beroende på vilket som är högst.
• Förstärkning av samarbetsgruppens roll och ökat informationsutbyte och samarbete mellan medlemsstaternas myndigheter

Men hur följer man NIS 2-direktivet? Vi har ett antal use case som föreslår några lösningar på de problem som NIS 2-direktivet nämner.

Använd kryptering

I NIS 2 finns rekommendationer om användning av kryptering och kryptografi. Kryptering nämns i artikel 21 i NIS 2-direktivet, där det anges att varje organisation ska ha strategier för kryptografi, och i förekommande fall använda kryptering. Bland annat kan kryptering och andra säkerhetsrelaterade funktioner (tillträdeskontroll, integritetsbevarande och icke-avvisande) ingå i arbetet med att skydda nätverk och informationssystem. Det nämns också att allmänna elektroniska kommunikationsnät och tillgängliga elektroniska kommunikationstjänster bör använda kryptering och särskilt sådan kryptering som kallas end-to-end-kryptering.

Vi har ett antal use case som förslag på hur du använder kryptering för att göra din organisation säkrare.

Två use case för kryptering

Use case #1: Säker kommunikation med avlägsna platser
Advenicas SecuriVPN tillhandahåller hållbart data i rörelseskydd för alla slutanvändarapplikationer. Optimal distribution säkerställs av flera produktmodeller. På huvudkontoret kan SecuriVPN konfigureras för att använda hög tillgänglighet med failover eller dynamisk routing. Mobila kontor kan använda den bärbara SecuriVPN-varianten. Systemet stöder många funktioner som NTP, loggning och automatiska nyckeluppdateringar. Systemet är hårdvarubaserat, utvärderat och har ett centralt administrationssystem för enkel användning.

SecuriVPN är utvecklat och tillverkat i egen regi i Sverige för att skydda mot supply chain-attacker. Systemet är kvantsäkert och har nationella godkännanden på SECRET-nivå i flera europeiska länder.

Fördelar

• Utvärderad av flera myndigheter
• Använder toppmoderna metoder som nyckelserver, PKI och kombinerar symmetrisk och asymmetrisk kryptering.
• Använder patenterad separation av tre domäner för att säkerställa korrekt rollseparation och integritet.
• Långsiktigt hållbar kommunikationsintegritet
• Lätt att konfigurera och distribuera
• Flera produktmodeller för optimal mångsidighet
• Fullständig central loggning av systemhändelser

Use case #2: Skydd av sensorer
Utplaceringen och skyddet av bandbreddskrävande sensorer och mer video-, data- och rösttrafik kan sätta press på tillgänglig bandbredd och bli dyrt. Dataskydd genom kryptering kommer med en kostnad för ökad trafik som eskalerar problemet. SecuriVPN kan konfigureras för att kompensera för den låga bandbredden och automatiskt komprimera all data. Den kan också konfigureras för att fungera som enkelriktad säkerhetsgateway, vilket gör att data endast kan färdas i en riktning. Enheterna kan arbeta i tuffa miljöer, t.ex. drifttemperaturer 5°C till +40°C.

Fördelar

Hållbar datasekretess, enkel att konfigurera och distribuera, enkelriktad trafik, full spårbarhet av överförd information.

Använd nätverkssegmentering

Nätverkssegmentering nämns i ett av skälen till NIS 2 (89) som en nödvändig och grundläggande cyberhygienfaktor, och återigen (98) för att säkra elektroniska kommunikationstjänster och nätverk. Vi har samlat några use case för hur nätverkssegmentering kan användas för att öka din övergripande informationssäkerhet och skydda dina system och nätverk.

Två use case för nätverkssegmentering

Use case #1: Säker IT/OT-integration
Att separera IT och OT i separata segment hjälper till att undvika sårbarheter eller störningar i IT som påverkar OT. För att undvika risker på grund av fel i konfiguration eller funktion bör fysisk segmentering (zonindelning) användas. Detta innebär att separat hårdvara används för IT och OT.

Det säkraste sättet att ansluta ett integritetskänsligt datanätverk till andra system är att använda datadioder. Alla dataflöden från OT som kan hanteras med datadioder innebär en förenklad säkerhetsanalys, helt enkelt för att en datadiod är så säker och lätt att analysera. Eller, mer korrekt, för att den har så hög säkerhet.

Fördelar

Genom att använda datadioder för att skydda insamlingen av loggdata uppnår du ett mycket bra skydd:

• Det är omöjligt att utföra attacker från loggsystemet på någon av zonerna.
• Du kan använda ett delat loggsystem oavsett antalet anslutna zoner. Detta undviker de extra kostnaderna som det innebär att behöva underhålla flera loggsystem parallellt.
• Du kan enkelt avskärma och skydda loggsystemet så att ingen obehörig kan komma åt dess innehåll.
• Datadioder innebär förenklad säkerhetsanalys (och därmed förenklad driftsättning) och uppfyller extremt stränga krav från organ som tillsynsmyndigheter.

Use case #2: Säker loggning
Alla zoner som levererar loggdata är skyddade med en datadiod vardera. Dataflödet görs enkelriktat mot loggsystemet. Ett delat loggsystem kan därför användas oavsett antalet zoner som levererar data till loggsystemet. Om någon av zonerna innehåller konfidentiell data måste antingen loggsystemet skyddas på lämplig konfidentialitetsnivå eller så måste loggdata från en sådan zon filtreras så att loggsystemet inte kontamineras med konfidentiell data. Detta kan dock leda till att värdet på loggdatan minskar eftersom fritextdata ofta behöver filtreras bort, vilket kan göra det svårare att tolka loggdata.

• Datadioderna gör det omöjligt att använda loggsystemet som språngbräda.
• Datadioderna gör det enkelt att skydda loggsystemet så att ingen obehörig kan komma åt datan.
• Det är mycket svårare för en angripare att täcka sina spår efter en attack.
• Det är också möjligt att kryptera anslutningen till loggservern för att förhindra korruption av loggdata.

Fördelar

Genom att fysiskt zona IT och OT och använda datadioder och ZoneGuards i zongränsen uppnår du en optimal balans mellan funktion och säkerhet. Följaktligen kan du påskynda digitaliseringsprocessen utan att riskera tillgängligheten av OT, och du slipper också lägga tid och kraft på att analysera något av de utgående flödena från OT.

Att välja datadioder och ZoneGuards ger dig en framtidssäker lösning som är betydligt mindre sannolikt att behöva ändras över tid än en lösning baserad på traditionella brandväggar och intrångsdetekteringssystem.

Läs mer om vårt krypteringssystem SecuriVPN och om våra datadioder.