NIS 2: Hvad de foreslåede ændringer betyder for din virksomhed

I december 2022, den Den Europæiske Union bekræftede, at de går videre med planer om at udvide anvendelsesområdet for direktivet om netværk og informationssystem (NIS) til at omfatte outsourcere og administrerede tjenesteudbydere.

En række reformer og opdateringer af direktivet om netværksinformationssystemer (NIS) er blevet skubbet frem for yderligere at styrke cyberresiliens. Den nyligt navngivne NIS 2 vil bringe udbydere af outsourcet IT og managed service providers (MSP'er) inden for rammerne af reglerne for bedre at beskytte vitale forsyningskæder og kritiske nationale tjenester mod cyberangreb efter betydelige forstyrrelser gennem de sidste par år.

I en pressemeddelelse sagde EU-rådet, at det "vil sætte udgangspunktet for foranstaltninger til styring af cybersikkerhedsrisiko og rapportering på tværs af alle sektorer, der er omfattet af direktivet, såsom energi, transport, sundhed og digital infrastruktur."

For manglende overholdelse af NIS-regler kan virksomheder, der leverer væsentlige tjenester såsom energi, sundhedspleje, transport eller vand, blive idømt en bøde på op til £17 millioner i Storbritannien og €10 millioner eller 2% af den globale omsætning i EU.

Hvad er direktivet om netværksinformationssystemer (NIS), og hvorfor er det blevet opdateret? 

EU lancerede direktivet om netværk og informationssystemer (NIS) i 2016 efter øgede bekymringer om cyberangreb. Ud over at styrke medlemslandenes cybersikkerhedskapaciteter håbede direktivet at øge samarbejdet om cybersikkerhed mellem medlemslandene. Det opfordrede også stater til at overvåge cybersikkerhed på tværs af deres kritiske nationale infrastruktur (CNI), såsom energi, transport og sundhedspleje.

Syv år efter, at direktivet blev lanceret, har cybertrussellandskabet ændret sig væsentligt, og direktivet opfylder ikke helt behovene i de udviklende 2023-udsigter for cybersikkerhedsrisiko. Cyberangreb og databrud er steget eksponentielt, specielt efterhånden som folk bliver mere afhængige af digital teknologi. Derudover viser de øgede angreb på CNI, som det ses i SolarWinds-angrebet, huller i den oprindelige NIS-lovgivning og uoverensstemmelser i, hvordan medlemslandene har implementeret NIS, begrænsningerne af den tidligere model og behovet for en mere omfattende udskiftning.

Hvad er kernekravene i NIS 2-direktivet?

NIS 2 vil behandle problemerne med den tidligere NIS-lovgivning og stramme reglerne. Det vigtigste er, at dette vedrører den inkonsekvente måde, det oprindelige NIS-direktiv blev implementeret på, da dette komplicerede samarbejde mellem landene og underminerede det overordnede formål med at sikre effektiviteten af ​​EU's cybersikkerhed.

NIS 2 vil kræve, at organisationer sikrer, at følgende foranstaltninger er på plads for at håndtere cybersikkerhedsrisici:

Informationssikkerhedspolitik

En kritisk del af cybersikkerhed er at vurdere dit risikoniveau. NIS 2 vil kræve, at virksomheder vurderer den potentielle effekt af et angreb på deres mest vitale aktiver og er opmærksomme på potentielle netværkssårbarheder eller nyheder om andre branchemedlemmer, der bliver angrebet. De bliver også nødt til at tage en proaktiv snarere end reaktiv tilgang til risikostyring ved at indføre stærk informationssikkerhedspolitikker at sikre en systematisk og grundig risikoanalyse.

Hændelsesforebyggelse, detektion og reaktion

NIS 2 kræver, at organisationer har planer og backup-planer, kører øvelser og træner alle relevante parter. Når en organisation har identificeret deres væsentligste sårbarheder, kræver det opdaterede direktiv, at de implementerer klare procedurer for at forhindre angreb og aftaler metoder til at opdage potentielle hændelser. Dette bør resultere i en plan for reaktion på hændelser med en gennemsigtig kommandovej til implementering.

Forretningskontinuitet og krisestyring

Den opdaterede NIS 2 har til hensigt at sikre, at en virksomheden kan fortsætte sin drift i tilfælde af et cyberangreb. Organisationer skal have en verificerbar plan for, hvordan virksomheden vil reagere på et angreb, og hvordan den kan komme sig over det så hurtigt som muligt, hvilket minimerer forstyrrelser. Som følge heraf indeholder NIS 2 fokus på cloud backup-løsninger.

Forsyningskædesikkerhed

Supply chain sikkerhed har været under lup globalt i nogen tid. NIS 2 fordobler dette og kræver, at organisationer overvejer sårbarhederne hos hver af deres leverandører og tjenesteudbydere og deres cybersikkerhedspraksis, herunder datalagringsudbydere. Direktivet sikrer, at organisationer klart forstår risiciene, opretholder et tæt forhold til leverandører og løbende opdaterer sikkerheden for at garantere den højest mulige beskyttelse. 

Afsløring af sårbarhed

NIS 2 vil kræve mere gennemsigtig afsløring og styring af sårbarheder. Organisationer skal sørge for måder, hvorpå offentligheden kan rapportere eventuelle sårbarheder og sikre, at den relevante afdeling handler på disse oplysninger. Hvis en organisation identificerer en sårbarhed i deres netværk, kræver det opdaterede direktiv, at de afslører det. Afsløring af sådanne sårbarheder vil støtte kampen mod cyberkriminalitet og sikre, at de ikke udnyttes andre steder.

NIS 2 vil også pålægge opdaterede tilgange til:

Rapportering af hændelser

I henhold til det opdaterede direktiv skal virksomheder indsende en indledende rapport inden for 24 timer efter, at de er blevet opmærksomme på enhver "betydelig" hændelse, en fuldstændig hændelsesmeddelelse inden for 72 timer og en endelig rapport inden for en måned til enhver relevant kompetent myndighed, Computer Security Incident Response Team ( CSIRT), og nogle gange til deres kunder.

En "betydelig" hændelse er enhver hændelse, der har forårsaget eller er i stand til at forårsage alvorlige driftsforstyrrelser af tjenesten eller økonomiske tab, eller hvis hændelsen har påvirket eller er i stand til at forårsage betydelige tab for andre.

Samarbejde

Det første NIS-direktiv mislykkedes, fordi det ikke tog højde for de forskellige måder, de enkelte lande fungerede på. Derfor vil NIS 2:

• Tilskynd til mere datadeling mellem myndigheder
• Kræv, at myndighederne deltager i hændelsesberedskab på EU-plan i stedet for nationalt
• Etablere et EU-Cyber ​​Crisis Liaison Organisation Network (EU CyCLONe), et centralt organ til at koordinere og administrere reaktioner på EU-dækkende cyberhændelser

Ved at centralisere cybersikkerhedskontrol på EU-niveau og give mandat til, at alle overholder de samme cybersikkerhedsstandarder, sigter NIS 2 mod at forenkle et tidligere underkoordineret system. Dette skulle lette samarbejdsdeling af data og mere effektive løsninger på cyberhændelser, efterhånden som de opstår.

Hvem skal overholde NIS 2?

NIS 2 vil gælde for enhver organisation med mere end 50 ansatte, hvis årlige omsætning overstiger €10 millioner, og enhver organisation, der tidligere var omfattet af det oprindelige NIS-direktiv.  

Det opdaterede direktiv vil også udvide dets anvendelsesområde til at omfatte følgende nye industrier:

• Elektronisk kommunikation
• Digitale tjenester
• Space
• Affaldshåndtering
• Mad
• Kritisk produktfremstilling (dvs. medicin)
• Posttjenester
• Offentlig administration

Industrier, der er inkluderet i det oprindelige direktiv, vil forblive inden for det opdaterede NIS 2-direktiv. Nogle mindre organisationer, der er kritiske for et medlemslands funktion, vil også blive inkluderet i NIS 2-mandatet på grund af de potentielle problemer, der kan opstå, hvis et cyberangreb rammer dem.

Gælder NIS 2 for britiske virksomheder?

Britiske regering har bekræftet, at de vil gå videre med planer om at opdatere NIS-reglerne, efterhånden som de gælder for Storbritannien, og udvide forordningen til at omfatte alle digital managed service providers (MSP'er).

Som en del af denne planlagte britiske opdatering vil der være tilpasning til NIS 2 på mange områder, især hvor det gælder administrerede serviceleverandører, IT-outsourcing og kernekrav såsom hændelsesrapportering, forsyningskædesikkerhed og forretningskontinuitet.

Den britiske opdatering "vil blive lavet så snart parlamentarisk tid tillader det" og er en del af regeringens £2.6 mia ($3.2 mia.) National cyberstrategi. Så selvom ændringerne i Storbritannien muligvis ikke træder i kraft så snart 2024, er der ingen garantier, og virksomheder bør være velforberedte i stedet for at komme i korthed senere hen.

Hvad er konsekvenserne af ikke at overholde NIS 2? 

NIS 2 kommer med meget strengere håndhævelseskrav end sin forgænger. Sanktionerne for manglende overensstemmelse spænder fra at blive sikkerhedsrevideret og beordret til at følge fastsatte anbefalinger til bøder på €10 millioner eller 2 % af organisationens samlede verdensomspændende omsætning – alt efter hvad af disse tal er højere.

Navnlig er disse bøder de samme som dem, der pålægges for GDPR krænkelser, og NIS 2 skal forstås på samme måde. NIS 2-initiativet repræsenterer et betydeligt spring inden for cybersikkerhed og bør behandles lige så seriøst, som den enorme havændring GDPR førte til databeskyttelse.

En standardbaseret tilgang til NIS 2

For organisationer, der ønsker at opnå overholdelse af NIS 2, certificering mod ISO 27001 for informationssikkerhed kunne være et stærkt første skridt.

NIS-reglerne nævner selv, at ethvert skridt, virksomheder tager for at overholde, bør overveje "overholdelse af internationale standarder", mens de tekniske retningslinjer udstedt af Den Europæiske Unions Agentur for Cybersikkerhed (ENISA) kortlægger hvert sikkerhedsmål til adskillige bedste praksis-standarder, bl.a. ISO 27001. 

Et ISO 27001-kompatibelt informationsstyringssystem (ISMS) gør det muligt for organisationer at reducere deres risiko og eksponering for sikkerhedstrusler ved at identificere de relevante politikker, de skal dokumentere, teknologierne til at beskytte sig selv og personaleuddannelsen for at undgå fejl. De giver også mandat til, at organisationer udfører årlige risikovurderinger, hvilket hjælper dem med at være på forkant med det stadigt skiftende risikolandskab.

ISO 27001 vil hjælpe organisationer med at opfylde NIS 2-krav, samtidig med at de opnår uafhængigt revideret certificering. Dette beviser til leverandører, interessenter og regulatorer, at du har truffet de "passende og forholdsmæssige" tekniske og organisatoriske foranstaltninger, der kræves, og viser en konkurrencefordel på markedet.

Organisationer, der ønsker at tage det et skridt videre, kunne overveje at tilføje ISO 22301 til forretningskontinuitetsstyring. ISO 22301 er designet til at hjælpe dig med at implementere, vedligeholde og løbende forbedre din tilgang til forretningskontinuitet. Mens nogle aspekter af ISO 27001 omfatter Business Continuity Management (BCM), definerer den ikke en proces for BCM-implementering. Det er her, den supplerende standard ISO 22301 kommer ind i billedet. Certificering mod denne standard vil yderligere demonstrere overholdelse af NIS 2. 

27001 og ISO 22301 fungerer også godt sammen, hvilket skaber mulighed for, at du kan udvikle et integreret ledelsessystem, der omfatter både et ISMS og et BCMS. Denne tilgang vil også hjælpe dig med at udvikle stærk cyberresiliens.

NIS 2 Konklusioner

Efter offentliggørelsen af ​​EU NIS 2-direktivet i Den Europæiske Unions Tidende trådte direktivet i kraft den 20. december 2022. Medlemslandene har 21 måneder til at indarbejde bestemmelserne i deres nationale lovgivning.

Tidslinjerne for implementering i Storbritannien er mindre klare, og den britiske regering forpligter sig til at fremsætte den nødvendige lovgivning "når parlamentarisk tid tillader det". På baggrund af de nuværende regeringsprioriteter forventer vi, at den nye ordning er på plads tidligst i 2024.

Indstil din organisation til succes i dag med ISO 27001

Hvis du ønsker at opnå overholdelse af NIS 2 og starte din rejse mod bedre information og cybersikkerhed, kan vi hjælpe. 

Download vores vigtige guide for at læse mere og bevæbne dig med den indsigt, du har brug for for at være på forkant og sikre, at din organisation er sat op til succes.

Hent

Ressourcer

1. ENISA – https://www.consilium.europa.eu/en/press/press-releases/2022/11/28/eu-decides-to-strengthen-cybersecurity-and-resilience-across-the-union-council- vedtager-ny-lovgivning/
2. GOV.uk – https://www.gov.uk/government/publications/national-cyber-strategy-2022
3. NCSC – https://www.ncsc.gov.uk/collection/caf/nis-introduction