Vilka krav ställer NIS2-direktivet?

Artiklar
Skrivet av Ann Cheng

Fokus NIS2 - Fyra artiklar om NIS2-direktivet - Del 2 av 4

NIS2-direktivet som är en reviderad version av det tidigare NIS-direktivet ställer högre krav kring de berörda entiteterna. För att undanröja de skillnaderna mellan hur medlemsländerna efterlevde det tidigare direktivet har det ställts högre krav kring hantering av säkerhetsarbetet.

I den tidigare delen gick vi igenom vad NIS2-direktivet är och vilka som berörs. I del två av denna NIS2-serien går vi istället igenom de krav som direktivet ställer och vad det innebär.

Säkerhetsåtgärdskrav

NIS2-direktivet ställer krav att entiteter som omfattas av direktivet ska vidta lämpliga och proportionella åtgärder kring säkerhetsarbetet. Detta för att hantera risker som hotar säkerheten i nätverks- och informationssystem som används för att tillhandahålla tjänsten. Ytterligare anledningen till att det ska finnas säkerhetsåtgärdskrav är för att förhindra en incident i förstahand, men även vid en inträffad incident ska det påverka tillhandahållandet av tjänsten så lite som möjligt.

Vid bedömning av vad som är lämplig och proportionell åtgärd, ska det ta hänsyn till entitetens:

  • grad av riskexponering mot cybersäkerhet,

  • storlek,

  • sannolikheten att incidenter inträffar,

  • vilken allvarlighetsgrad incidenten skulle inbegripa, både samhälleliga och ekonomiska konsekvenser.

Riskhanteringssåtgärder för cybersäkerhet

Den reviderade direktivet ställer även krav på tio minimumåtgärder som ska vara inkluderade i verksamhetens arbete av riskhanteringen. Dessa åtgärder ska hantera riskerna och hot mot nätverks-och informationssystemen som används för att tillhandahålla verksamheten. Därav är det obligatorisk att entiteter som NIS2 omfattas inför följande åtgärder:

  1. Riskanalys och informationssäkerhetspolicyer,

  2. Incidenthantering,

  3. Driftskontinuitet, (exempelvis hantering av backups, katastrof, och kris),

  4. Säkerhet i leveranskedjan, vilket innefattar att entiteten har koll och säkerställer sina leverantörers och tjänsteleverantörers säkerhetsarbete,

  5. Säkerhet vid förvärv, utveckling och underhåll av nätverks- och informationssystem, inkluderad hantering av sårbarheter och sårbarhetsinformation,

  6. Strategier och processer för att bedöma effektiviteten i riskhanteringsåtgärderna för verksamhetens cybersäkerhet,

  7. Grundläggande praxis för cyberhygien och utbildning i cybersäkerhet,

  8. Strategier och processer för användning av kryptografi, och där det lämpligt, kryptering,

  9. Säkerhet för personal/HR och hantering av åtkomst och tillgångar.

  10. Användning av multifaktorautentisering eller lösningar för kontinuerlig autentisering, säkrade röst-, video- och textkommunikationer och säkrade nödkommunikationssystem, där det är lämpligt.

Om de 10 minimumåtgärderna inte är inkluderad i verksamhetens arbete med riskhanteringen kan det bland annat medföra sanktionsavgifter.

Krav på ledningen

NIS2-direktivet ställer krav på de omfattade entiteternas ledning gällande de riskhanteringsåtgärder för cybersäkerhet som entiteten har vidtagit. Detta innebär att ledningen ska:

  • godkänna de riskhanteringsåtgärderna för cybersäkerhet som verksamheten har bestämt att vidta.

  • övervaka genomförande av de vidtagna riskhanteringsåtgärderna för cybersäkerhet.

  • kunna hållas ansvarig vid bristande efterlevnad av de vidtagna riskhanteringsåtgärderna

Förutom detta framgår det i direktivet att ledningen är skyldiga att genomgå utbildning för att få tillräcklig med kunskap och kompetens för att kunna:

  • identifiera risker

  • bedöma riskhanteringsåtgärder för cybersäkerhet och dess inverkan på de tjänster som tillhandahålls av entiteten.

Men även sina anställda ska uppmuntras till att regelbundet erbjuda liknade utbildning.

Incidentrapportering

NIS2-direktivet ställer krav på skyldighet att incidenter ska rapporteras. Genom att incident rapportera kan Europa samarbeta och bygga upp motståndskraftiga tjänster. Detta genom att rapportering kan förvarna andra entiteter om incident och med lärdomar kan förebygga att det sprider eller uppstår igen.

Vad för incidenter ska rapporteras?

Incidenter som anses vara betydande ska enligt direktivet rapporteras. Vad NIS2 definierar som en betydande incident är följande:

a)      Incidenten har orsakat eller kan orsaka allvarliga driftstörningar för tjänsterna eller ekonomiska förluster för den berörda entiteten.

b)      Incidenten har påverkat eller kan påverka andra fysiska eller juridiska personer genom att vålla betydande materiell eller immateriell skada.

Det innebär att om någon av de två påstående stämmer, så är det en incident av en betydande karaktär och därmed ska rapporteras.

Inom när och till vem ska det incident rapporteras?

Det finns en tidsram för när det ska rapporteras och vad som ska innehållas:

  • Inom 24 timmar efter kännedom om den betydande incidenten ska det rapporteras. Detta anses som att ge en tidig varning, som i tillämpliga fall ska ange om den betydande incidenten:

    • Misstänkts ha orsakats olagligt eller avsiktligt skadliga handlingar

    • Misstänkts kan ha en gränsöverskridande verkan.

  • Inom 72 timmar efter kännedom om den betydande incidenten ska en incidentanmälan göras. Detta anses vid tillämpliga fall som att uppdatera den informationen som avses i varningen och ange:

    • En inledande bedömning av den betydande incidenten

    • Dess allvarlighetsgrad

    • Konsekvenser

    • I förekommande fall angreppsindikatorer

  • Inom 1 månad efter kännedom ska slutrapporten lämnas in. Slutrapporten ska innehålla följande:

    • En detaljerad beskrivning av incidenten, inbegripet dess allvarlighetsgrad och konsekvenser.

    • Den typ av hot eller grundorsak som sannolikt har utlöst incidenten. 

    • Tillämpade och pågående begränsande åtgärder. 

    • I tillämpliga fall, incidentens gränsöverskridande verkningar.

Entiteter ska rapportera alla de punkter till CSIRT-enheten (Computer Security Incident Responds Team) som i Sverige är MSB (Myndigheten för Samhällsskydd och Beredskap), eller till utsedd tillsynsmyndighet enligt direktivet. Till exakt vem kommer att bli mer tydligt när direktivet har införlivats i svensk lag.

Det som också är nytt i NIS2-direktivet är att i vissa fall kan en entitet som utsätts för en incident behöva utan onödigt dröjsmål informera de som använder sig av tjänsten om:

  • Vad som har hänt.

  • Vad kan göras för att skydda sig.

Vi på Omegapoint kan hjälpa er

Vi på Omegapoint hjälper er gärna kring era frågor och arbeten inför NIS2-direktivet. Genom vår expertis, samt vårt verktyg O.ciso kan vi tillsammans bidra till effektiviserad arbete för er kring de krav som det nya direktivet uppställer. Tveka därför inte att höra av er om ni vill veta mer!

Referens

Direktivet EUROPAPARLAMENTETS OCH RÅDETS DIREKTIV (EU) 2022/2555 av den 14 december 2022 om åtgärder för en hög gemensam cybersäkerhetsnivå i hela unionen, om ändring av förordning (EU) nr 910/2014 och direktiv (EU) 2018/1972 och om upphävande av direktiv (EU) 2016/1148 (NIS 2-direktivet)

I nästa del av NIS2-serien går vi igenom ytterligare delar av NIS2 som vilka är konsekvenserna vid brist på efterlevnad, samt kontaktpunkten inom NIS2. Det kan du läsa här.

Ann Cheng

Informationssäkerhetsspecialist på Omegapoint

https://omegapoint.se/
Föregående

Vilka är påföljderna och kontaktpunkter inom NIS2?
Nästa

Vad är NIS2-direktivet och vem berörs?