IT-säkerhet Compliance

Förbered dig inför NIS2

Vi tittar närmare på vilka sektorer som berörs och vad som behöver göras för att förbereda sig.

Av Tahir Önal

I januari 2023 antog EU:s medlemsstater formellt en revidering av direktivet för nätverk och informationssystem (NIS) från 2016. Direktivet utformades som svar på flera välkända och skadliga cyberattacker, såsom WannaCry och NotPetya, som påverkade hundratals företag och organisationer över hela världen. NIS2-direktivet är den andra versionen av detta direktiv och syftar till att stärka EU:s motståndskraft mot cyberattacker och säkerställa att EU:s medlemsstater samarbetar effektivt vid cybersäkerhetsincidenter.

Vad är NIS2

NIS2-direktivet innehåller flera förbättringar och förstärkningar jämfört med det tidigare NIS-direktivet. Det stärker säkerhetskraven för operatörer av viktiga tjänster och digitala tjänsteleverantörer, vilket inkluderar organisationer och företag inom sektorer som energi, transport, hälsa och finansiella tjänster. Detta inkluderar nya skyldigheter för att förebygga och hantera cybersäkerhetsincidenter, genom att identifiera och hantera sårbarheter i deras IT-system, samt rapportera incidenter till nationella myndigheter.

NIS2-direktivet inför även mer strikta tillsynsåtgärder för nationella myndigheter och EU-kommissionen, för att se till att operatörer av viktiga tjänster och digitala tjänsteleverantörer uppfyller säkerhetskraven. Det införs även nya krav på medlemsstaterna att samarbeta vid hantering av cyberincidenter, för att effektivt hantera gränsöverskridande incidenter.

Det reviderade direktivet är avsett att bättre skydda kritiska enheter mot sårbarheter i leverantörskedjan, ransomware-attacker och andra cyberhot. Samtliga 27 EU-medlemsstater måste införliva NIS2-direktivet i sina nationella lagar senast i oktober 2024. NIS2-direktivet förväntas ha en positiv inverkan på cybersäkerhet och minska risken för stora cyberattacker och deras påverkan på samhället och ekonomin.

Cybersäkerheten behöver stärkas

NIS2-direktivet syftar till att stärka säkerheten för operatörer av viktiga tjänster och digitala tjänsteleverantörer inom flera sektorer. Här är några av de främsta sektorerna som organisationer behöver stärka inom cybersäkerhet enligt NIS2:

Riskhantering

Organisationer som omfattas av NIS2-direktivet behöver ha en robust riskhanteringsprocess på plats för att identifiera, bedöma och hantera säkerhetsrisker. Detta inkluderar att utveckla och genomföra en lämplig säkerhetsstrategi och att ta hänsyn till säkerhetsrisker från tredje part.

Incidenthantering

De behöver ha en väldefinierad process för att hantera cybersäkerhetsincidenter. Detta inkluderar att ha en plan för incidenthantering, att rapportera incidenter till relevanta myndigheter och att genomföra åtgärder för att minimera skadan från en incident.

Säkerhetskultur

Organisationer behöver främja en stark säkerhetskultur genom att utbilda sin personal om säkerhetsrisker och genom att införa säkerhetsmedvetenhet som en del av sin dagliga verksamhet. Detta inkluderar att ha en tydlig ansvarsfördelning för cybersäkerhet inom organisationen och att främja säkerhetsmedvetenhet på alla nivåer.

Säkerhet vid leverantörsutbyte

Organisationer behöver ha en process för att hantera säkerhetsrisker från tredje part, särskilt i leverantörsutbyte. Detta inkluderar att utvärdera säkerhetsrisker från leverantörer och att säkerställa att leverantörer uppfyller relevanta säkerhetskrav.

Teknisk säkerhet

De behöver säkerställa att deras IT-system och nätverk är säkra och skyddade mot angrepp. Detta inkluderar att implementera lämpliga säkerhetsåtgärder såsom brandväggar, kryptering och säkerhetskopiering.

Dessa områden är bara några exempel på de främsta områdena som organisationer behöver stärka inom cybersäkerhet enligt NIS2-direktivet. Det är viktigt att organisationer noggrant utvärderar sina egna behov och följer de relevanta säkerhetskraven i direktivet för att skydda sig mot cyberattacker och uppfylla sina rapporteringsplikter.


Privilegierade konton och rättigheter

NIS2-direktivet innehåller särskilda bestämmelser om hantering av privilegierade konton och rättigheter. Enligt direktivet ska företag som omfattas av NIS2-direktivet vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa att användningen av privilegierade konton och rättigheter är begränsad och kontrollerad.

NIS2-direktivet kräver att organisationer identifierar privilegierade konton och rättigheter och begränsar deras användning till endast de personer som behöver använda dem för att utföra sina arbetsuppgifter. Organisationerna måste även se till att de personer som har tillgång till privilegierade konton och rättigheter har rätt kompetens och kunskap för att använda dem på ett säkert sätt.

NIS2-direktivet kräver också att organisationer genomför lämpliga säkerhetsåtgärder för att skydda privilegierade konton och rättigheter. Detta inkluderar åtgärder såsom att implementera stark autentisering och auktorisering för privilegierade konton, att begränsa möjligheten till fjärråtkomst till privilegierade konton och att säkerställa att användning av privilegierade konton och rättigheter loggas och granskas.

TIPS: 8 viktiga steg för effektiv hantering av Windows privilegier Läs artikeln

 

Genom att vidta lämpliga åtgärder för att hantera privilegierade konton och rättigheter kan organisationer minska risken för obehörig åtkomst och användning av sina system och nätverk. Detta kan också hjälpa organisationer att uppfylla sina rapporteringsplikter enligt NIS2-direktivet.

Med hjälp av verktygen PAM360 och ADManager Plus kan er organisation hantera era privilegierade konton.

Incident- och logghantering samt övervakning

NIS2-direktivet innehåller också bestämmelser om logghantering och övervakning. Enligt direktivet ska organisationer som omfattas av NIS2-direktivet genomföra lämpliga åtgärder för att säkerställa att de kan upptäcka och hantera säkerhetsincidenter i realtid. Detta innebär att organisationer måste ha effektiva metoder för att övervaka sina system och nätverk, samt för att registrera och analysera data om incidenter.

Verksamheter ska se till att deras loggar innehåller tillräcklig information för att möjliggöra effektiv analys och att de lagras på ett säkert sätt som skyddar mot obehörig åtkomst och manipulation. NIS2-direktivet kräver också att företag genomför lämpliga åtgärder för att säkerställa att loggar kan samlas in och analyseras på ett strukturerat sätt.

NIS2-direktivet kräver att verksamheter har ett effektivt system för incidenthantering och att de genomför lämpliga åtgärder för att skydda mot angripare som försöker dölja sina spår genom att manipulera loggar eller stänga av övervakningssystem. Organisationer ska ha en tydlig process för att rapportera säkerhetsincidenter till tillsynsmyndigheter och att informera berörda parter vid allvarliga incidenter.

Genom att vidta lämpliga åtgärder för logghantering och övervakning kan organisationer upptäcka och hantera säkerhetsincidenter i realtid och därmed minska risken för obehörig åtkomst och användning av sina system och nätverk. Detta kan också hjälpa företag att uppfylla sina rapporteringsplikter enligt NIS2-direktivet.

Med Log360 kan ni hantera era loggar och övervaka kritiska delar i er miljö. För att hantera incidenter utifrån ITIL och bestämda processer i er organisation är ServiceDesk Plus en heltäckande lösning. Om er organisation vill stärka endpoint skyddet samt få larm och se forensiska data kan vår EDR (Endpoint Detection and Response) från WithSecure täcka era behov.

 

Sårbarheter och patchning

Direktivet kräver att organisationer har en dokumenterad process för att hantera sårbarheter, inklusive patchhantering och att de har en effektiv process för att hantera incidenter som kan vara relaterade till sårbarheter och patchhantering. Detta hjälper verksamheter att minska risken för att drabbas av säkerhetsincidenter och uppfylla sina rapporteringsplikter enligt NIS2-direktivet.

TIPS: Din guide till effektiv patchning Läs artikeln

Senaste årens statiskt visar att en mycket stor andel av intrång och säkerhetsincidenter beror på opatchade system och applikationer.

Med Vulnerability Manager Plus får du en robust lösning för patchning av hela er miljö, avancerad sårbarhetshantering och vägledning för att hantera eventuella misskonfigurationer på era system. För en komplett säkerhet och hantering av endpoints finns Endpoint Central.

 

Sektorer som omfattas av NIS2

nis2-table-final


Åtgärder som måste vara på plats enligt NIS2

  • Strategier för riskanalys och informationssystemens säkerhet.
  • Incidenthantering.
  • Driftskontinuitet, exempelvis hantering av säkerhetskopiering och katastrofhantering och krishantering.
  • Säkerhet i leveranskedjan, inbegripet säkerhetsaspekter som rör förbindelserna mellan varje entitet och dess direkta leverantörer eller tjänsteleverantörer.
  • Säkerhet vid förvärv, utveckling och underhåll av nätverks- och informationssystem, inbegripet hantering av sårbarheter och sårbarhetsinformation.
  • Strategier och förfaranden för att bedöma effektiviteten i riskhanteringsåtgärderna för cybersäkerhet.
  • Grundläggande praxis för cyberhygien och utbildning i cybersäkerhet.
  • Strategier och förfaranden för användning av kryptografi och när så är lämpligt kryptering.
  • Personalsäkerhet, strategier för åtkomstkontroll och tillgångsförvaltning.
  • Användning inom entiteten, när så är lämpligt, av lösningar för multifaktorautentisering eller kontinuerlig autentisering, säker röst-, video- och textkommunikation och säkert nödkommunikationssystem.

Cyberhygien enligt NIS2

Enligt artikel 21 i NIS2 avser "cyberhygien" att tillhandahålla grunderna för att skydda nätverks- och informationssysteminfrastrukturer, hårdvara, programvara och säkerheten för onlineapplikationer och data som organisationer eller användare är beroende av. Cyberhygien innefattar en gemensam grunduppsättning av praxis, inklusive uppdateringar av programvara och hårdvara, ändringar av lösenord, hantering av nya installationer, begränsning av administratörskonton och säkerhetskopiering av data. Dessa praxis möjliggör en proaktiv ram för beredskap och övergripande säkerhet vid incidenter eller cyberhot.

Dessa åtgärder är hämtade direkt från NIS2-direktiven. Hela direktivet på svenska.

Hur kan Inuit hjälpa?

Inuit har verktyg som kan underlätta för organisationer att uppfylla kraven i NIS2 och samtidigt stärka säkerheten i din IT-miljö. Exempel på det har nämnts i texten ovan. Ta kontakt med oss så berättar vi mer och visar hur det fungerar i praktiken.

Kontakta oss

 

Tahir Önal
tahir.onal@inuit.se
Tahir är en problemlösare som inte duckar för nya utmaningar att hitta lösningar på med fokus inom cybersäkerhet och IAM.

Prenumerera på bloggen

Håll koll på senaste nytt genom att prenumerera.
Vi levererar nyheterna direkt i din inkorg!

Relaterade inlägg

IT-säkerhet Molntjänster

CASB: Nyckeln till effektiv molnsäkerhet och regelefterlevnad

I den digitala tidsåldern, där molntjänster blir allt mer centrala för företagens IT-strukturer, ökar också behovet av robust molnsäkerhet. Cloud Acce...

Läs mer ›

IT-säkerhet

Hotaktörer tar sikte på detaljhandeln under högsäsongen för shopping

Den årliga shoppinghögsäsongen är nu i full gång. Alla vet det, från detaljhandeln till konsumenterna och tyvärr även cyberbrottslingarna som är redo ...

Läs mer ››

IT-säkerhet Teknik

WormGPT och FraudGPT – Uppkomsten av skadliga LLM

I takt med att teknologin fortsätter att utvecklas finns det en växande oro för potentialen hos stora språkmodeller (LLM), som ChatGPT, att användas f...

Läs mer ››
Se alla blogginlägg