Hvad går galt med NIS 2-overholdelse, og hvordan man retter det op

En "én-gang-og-færdig"-tankegang er ikke den rette løsning til overholdelse af lovgivningen – tværtimod. De fleste globale regler kræver løbende forbedringer, overvågning og regelmæssige revisioner og vurderinger. EU's NIS 2-direktiv er ingen undtagelse.

Derfor vil mange IT-chefer og ledere inden for compliance finde den seneste rapport fra EU's Sikkerhedsagentur (ENISA) interessant læsning. ENISA NIS360 2024 skitserer seks sektorer, der kæmper med compliance, og påpeger hvorfor, samtidig med at den fremhæver, hvordan mere modne organisationer fører an. Den gode nyhed er, at organisationer, der allerede er certificeret i henhold til ISO 27001, vil opleve, at det er relativt ligetil at lukke hullerne i forhold til NIS 2-compliance.

Nyheder i NIS 2

NIS 2 er EU's forsøg på at opdatere sin flagskibslov om digital modstandsdygtighed til den moderne æra. Dens indsatsfokus på:

• Udvidelse af antallet af sektorer, der er omfattet af direktivet
• Introduktion af mere konkrete grundlæggende cybersikkerhedskrav
• Reduktion af uoverensstemmelser i niveauet af modstandsdygtighed mellem forskellige sektorer
• Forbedring af informationsdeling, hændelsesrespons og risikostyring i forsyningskæden
• At holde den øverste ledelse ansvarlig for eventuelle alvorlige fejl

Britiske organisationer vil få deres egen opdaterede version af det oprindelige direktiv om netværks- og informationssystemer (NIS), når Lovforslaget om cybersikkerhed og resiliens endelig bliver lov. Mange leverer dog tjenester til europæiske borgere og/eller opererer på kontinentet, hvilket betyder, at de falder ind under NIS 2's anvendelsesområde. For disse organisationer kan NIS360 være nyttig læsning.

Hvilke sektorer kæmper?

Ud af de 22 sektorer og delsektorer, der er undersøgt i rapporten, siges seks at være i "risikozonen" for compliance – det vil sige, at modenheden af ​​deres risikoprofil ikke holder trit med deres kritiske karakter. De er:

IKT-servicestyring: Selvom den støtter organisationer på samme måde som anden digital infrastruktur, er sektorens modenhed lavere. ENISA påpeger sin "mangel på standardiserede processer, konsistens og ressourcer" til at holde styr på de stadig mere komplekse digitale operationer, den skal støtte. Dårligt samarbejde mellem grænseoverskridende aktører forværrer problemet, ligesom de kompetente myndigheders "ukendskab" til sektoren.

ENISA opfordrer blandt andet til tættere samarbejde mellem kompetente myndigheder og harmoniseret grænseoverskridende tilsyn.

Plads: Sektoren spiller en stadig større rolle i at fremme en række tjenester, herunder telefon- og internetadgang, satellit-tv og radioudsendelser, overvågning af land- og vandressourcer, præcisionslandbrug, fjernmåling, forvaltning af fjerninfrastruktur og sporing af logistisk pakker. Rapporten bemærker dog, at sektoren, der er blevet reguleret nyligt, stadig er i de tidlige stadier af tilpasningen til NIS 2's krav. En stærk afhængighed af kommercielle standardprodukter (COTS), begrænsede investeringer i cybersikkerhed og en relativt umoden informationsdelingsholdning bidrager til udfordringerne.

ENISA opfordrer til et større fokus på at øge sikkerhedsbevidstheden, forbedre retningslinjerne for test af COTS-komponenter før implementering og fremme samarbejde inden for sektoren og med andre vertikaler som f.eks. telekommunikation.

Offentlige forvaltninger: Dette er en af ​​de mindst modne sektorer på trods af dens afgørende rolle i levering af offentlige tjenester. Ifølge ENISA er der ingen reel forståelse af de cyberrisici og -trusler, den står over for, eller hvad der overhovedet er inden for NIS 2. Det er dog fortsat et vigtigt mål for hacktivister og statsstøttede trusselsaktører.

ENISA anbefaler en model for delt service med andre offentlige enheder for at optimere ressourcer og forbedre sikkerhedskapaciteter. Den opfordrer også offentlige forvaltninger til at modernisere ældre systemer, investere i uddannelse og bruge EU's cybersolidaritetslov til at opnå økonomisk støtte til forbedring af detektion, indsats og afhjælpning.

Maritime: Sektoren er afgørende for økonomien (den håndterer 68 % af fragten) og stærkt afhængig af teknologi, og den er udfordret af forældet teknologi, især OT.

ENISA hævder, at de kunne drage fordel af skræddersyet vejledning til implementering af robuste cybersikkerhedsrisikostyringskontroller – med prioritering af designsikre principper og proaktiv sårbarhedsstyring i maritim OT. De opfordrer til en cybersikkerhedsøvelse på EU-niveau for at forbedre multimodal kriserespons.

Sundhed: Sektoren er afgørende og tegner sig for 7 % af virksomhederne og 8 % af beskæftigelsen i EU. Patientdatas følsomhed og de potentielt fatale konsekvenser af cybertrusler betyder, at indsatsen mod hændelser er afgørende. Den brede vifte af organisationer, enheder og teknologier inden for sektoren, ressourcemangler og forældede praksisser betyder dog, at mange udbydere kæmper med at komme ud over grundlæggende sikkerhed. Komplekse forsyningskæder og ældre IT/OT forværrer problemet.

ENISA ønsker at se flere retningslinjer for sikker indkøb og bedste praksis inden for sikkerhed, uddannelses- og oplysningsprogrammer for personale og mere engagement i samarbejdsrammer for at opbygge trusselsdetektion og -respons.

Gas: Sektoren er sårbar over for angreb på grund af dens afhængighed af IT-systemer til kontrol og sammenkobling med andre industrier som elektricitet og fremstilling. ENISA siger, at beredskabet og håndteringen af ​​hændelser er særligt dårlig, især sammenlignet med konkurrenter i elsektoren.

Sektoren bør udvikle robuste, regelmæssigt testede planer for hændelser og forbedre samarbejdet med el- og fremstillingssektoren om koordineret cyberforsvar, delt bedste praksis og fælles øvelser.

Hvad gør lederne rigtigt?

Ifølge ENISA er de sektorer med de højeste modenhedsniveauer bemærkelsesværdige af flere årsager:

• Mere omfattende vejledning om cybersikkerhed, potentielt inklusive sektorspecifik lovgivning eller standarder
• Stærkere tilsyn og støtte fra EU-myndigheder, der er bekendt med sektoren og dens udfordringer
• Dybere forståelse af risiko og mere effektiv risikostyring
• Stærkere samarbejde og informationsdeling mellem enheder og myndigheder på nationalt og EU-plan
• Mere modent operationelt beredskab gennem velafprøvede planer

Sådan får du succes med NIS 2-overholdelse

Det skal huskes, at ingen to organisationer i en specifik sektor er ens. Rapportens resultater er dog lærerige. Og selvom noget af byrden for at forbedre compliance ligger på skuldrene af CA'er – at forbedre tilsyn, vejledning og support – handler en stor del af det om at have en risikobaseret tilgang til cybersikkerhed. Det er her, standarder som ISO 27001 kommer til sin ret og tilføjer detaljer, som NIS 2 måske mangler, ifølge Jamie Boote, associeret principal softwaresikkerhedskonsulent hos Sort And:

"NIS 2 blev skrevet på et højt niveau, fordi den skulle gælde for en bred vifte af virksomheder og brancher, og som sådan kunne den ikke indeholde skræddersyet, præskriptiv vejledning ud over at informere virksomheder om, hvad de skulle overholde," forklarer han til ISMS.online.

"Selvom NIS 2 fortæller virksomheder, at de skal have 'hændelseshåndtering' eller 'grundlæggende cyberhygiejnepraksis og cybersikkerhedstræning', fortæller den dem ikke, hvordan de skal opbygge disse programmer, skrive politikken, uddanne personale og stille tilstrækkelige værktøjer til rådighed. Det er afgørende at indføre rammer, der går i detaljer om, hvordan man håndterer hændelser eller sikrer forsyningskæden, når man skal udpakke disse politikerklæringer til alle de elementer, der udgør medarbejderne, processerne og teknologien i et cybersikkerhedsprogram."

Chris Henderson, seniordirektør for trusselsoperationer hos Huntress, er enig i, at der er en betydelig overlapning mellem NIS 2 og ISO 27001.

"ISO27001 dækker mange af de samme forpligtelser inden for styring, risikostyring og rapportering, der kræves i henhold til NIS 2. Hvis en organisation allerede har opnået sin ISO 27001-standard, er de godt positioneret til også at dække NIS2-kontrollerne," fortæller han ISMS.online. "Et område, de bliver nødt til at forbedre, er krisestyring, da der ikke findes nogen tilsvarende ISO 27001-kontrol. Rapporteringsforpligtelserne for NIS 2 har også specifikke krav, som ikke umiddelbart vil blive opfyldt gennem implementeringen af ​​ISO 27001."

Han opfordrer organisationer til at starte med at teste obligatoriske politikelementer fra NIS 2 og knytte dem til kontrollerne i deres valgte ramme/standard (f.eks. ISO 27001).

"Det er også vigtigt at forstå huller i selve et rammeværk, fordi ikke alle rammeværker dækker en regulering fuldt ud, og hvis der er uforudsete reguleringsmæssige udsagn tilbage, kan det være nødvendigt at tilføje et yderligere rammeværk," tilføjer han.

Når det er sagt, kan compliance være en stor opgave.

"Compliance-rammer som NIS 2 og ISO 27001 er store og kræver en betydelig mængde arbejde at opnå," siger Henderson. "Hvis man opbygger et sikkerhedsprogram fra bunden, er det nemt at blive analyselammet, når man prøver at forstå, hvor man skal starte."

Det er her, tredjepartsløsninger, som allerede har udført kortlægningsarbejdet for at producere en NIS 2-klar overholdelsesvejledning, kan hjælpe.

Morten Mjels, administrerende direktør for Green Raven Limited, anslår, at overholdelse af ISO 27001 vil bringe organisationer omkring 75 % af vejen til at opfylde NIS 2-kravene.

"Compliance er en løbende kamp mod en gigant (regulatoren), der aldrig bliver træt, aldrig giver op og aldrig giver efter," fortæller han ISMS.online. "Derfor har større virksomheder hele afdelinger dedikeret til at sikre compliance på tværs af linjen. Hvis din virksomhed ikke er i den position, er det værd at konsultere en."

Tjek dette webinar ud for at lære mere om, hvordan ISO 27001 praktisk kan hjælpe med NIS 2-overholdelse.