Hvordan virksomheder kan overholde NIS 2 forud for sin implementeringsfrist i oktober
Indholdsfortegnelse:
Der er lidt over en måned tilbage for europæiske lande og virksomheder til at forberede sig på håndhævelsen af anden iteration af EU's net- og informationssystemer (NIS) direktiv.
Loven, der skal implementeres den 17. oktober 2024, har til formål at forbedre hver enkelt EU-medlemsstats evne til at tackle cyberkriminalitet, lette blokdækkende cybersikkerhedsefterretningsdeling og samarbejde og sikre, at virksomheder i kritiske sektorer tager cybersikkerhed seriøst. Men hvad betyder det i praksis?
En bredere tilgang til cybersikkerhedsrisikostyring
Da EU introducerede det oprindelige NIS-direktiv i 2016, havde det til formål at styrke cybersikkerheden for kritisk infrastruktur på tværs af den politiske blok.
Men i erkendelse af, at cybersikkerhedstrusler er steget dramatisk i løbet af de sidste par år og nu påvirker stort set alle brancher, har europæiske lovgivere udvidet omfanget af NIS-kravene i den anden version af direktivet.
NIS2 dækker en bredere vifte af industrier - herunder fødevareproduktion, affaldshåndtering, posttjenester, forskning, fremstilling, rumfart, offentlig administration og mange andre - og tager hensyn til forsyningskædens sikkerhedsrisiko skabt af digitale tjenesteudbydere.
Den opdeler sektorer i to områder: væsentlige og vigtige. Det "væsentlige" mærke beskriver meget kritiske industrier som energi og finansielle tjenesteydelser, tidligere beskrevet i NIS1. Disse organisationer vil beskæftige over 250 mennesker og generere en omsætning på mere end €50 millioner om året.
På den anden side dækker kategorien "vigtig" en yderligere række vitale industrier, såsom post- og kurertjenester og forskningsorganisationer. Virksomheder i denne kategori vil generelt være mellemstore, beskæftige over 50 personer og generere en årlig omsætning på mere end €10 mio.
I henhold til denne lov skal EU's medlemslande også sikre, at de er parate til at håndtere alvorlige cybersikkerhedshændelser. De skal nemlig etablere cyberhændelsesresponshold og en national netværks- og informationssystemer (NIS) myndighed. Gennem NIS Cooperation Group har direktivet til formål at forbedre samarbejdet og efterretningsdelingen mellem medlemslandene om cybersikkerhedsspørgsmål.
Nick Palmer, en løsningsingeniør hos trusselsintelligensplatformen Censys, beskriver NIS 2 som en opgraderet version af NIS 1, der har til formål at forbedre den kollektive cybersikkerhed i alle EU-medlemsstater. Han siger til ISMS.online: "Den er designet til at tackle nogle huller og uoverensstemmelser, der kom frem med de originale regler. Efterhånden som vores digitale verden vokser, og cybertrusler bliver mere sofistikerede, indså EU, at det var nødvendigt at styrke sit forsvar."
Som en del af en mere omfattende cybersikkerhedstilgang på tværs af EU forklarer Ed Parsons – VP for globale markeder og medlemsrelationer hos non-profit ISC2 – at den omfatter risikostyring, virksomhedsansvar, hændelsesrapportering og krav til planlægning af forretningskontinuitet. Han siger: "Nøglesikkerhedspraksis påbudt af NIS 2 omfatter forsyningskædesikkerhed, netværksbeskyttelse, kryptering, multifaktorautentificering, sårbarhedshåndtering og cybersikkerhedstræning."
Hvorfor compliance er altafgørende
Fordi cybersikkerhedstrusler hurtigt øges i volumen og sofistikerede verden over, mener nogle eksperter, at det er i virksomhedernes interesse på tværs af alle brancher, at overholde NIS 2.
Dave Joyce, administrerende direktør for udbyderen af datagendannelsessoftware Macrium, siger, at dens tilgang til tværsektoriel cyberresiliens virker ægte i lyset af nutidens komplekse online trussellandskab. Han er især opmuntret af dens "omfattende tilgang til cybersikkerhed" i virksomhedslandskabet og tilføjer, at den ikke kun fokuserer på "kendte trusler".
"NIS 2 lægger vægt på at sikre hele forsyningskæden og nøje overveje, hvordan leverandører håndterer data - en bekymring fremhævet af hændelser som CrowdStrike-bruddet, der afslørede huller i katastrofegenopretningspraksis," forklarer Joyce.
Joyce siger, at overholdelse er nøglen til at opretholde forretningskontinuitet, kundetillid og EU-markedsadgang, samt undgå bøder på op til €10 millioner eller 2 % af den årlige internationale omsætning. Han fortsætter: "I sidste ende fremmer NIS 2-overholdelse et sikrere digitalt miljø og bidrager til et mere sikkert globalt cyberøkosystem."
Palmer fra Censys er en anden fast tilhænger af NIS 2-direktivet og dets positive indvirkning på det europæiske forretningslandskab. Han påpeger, at det at følge disse robuste krav vil mindske chancerne for, at virksomheder bliver ofre for cyberkriminalitet og det nedfald, der ville følge, såsom forstyrret drift, skade på omdømme og økonomisk tab.
"Compliance spiller også en afgørende rolle i at opbygge og opretholde tillid til kunder, partnere og interessenter, da det viser en forpligtelse til datasikkerhed og operationel robusthed," siger han. "På det konkurrenceprægede EU-marked kan manglende overholdelse resultere i at blive afskåret fra lukrative muligheder eller at miste kontrakter til mere kompatible konkurrenter."
I mellemtiden hævder Parsons fra ISC2, at overholdelse af NIS 2 bedre vil forberede virksomheder til at håndtere nye cybertrusler, øge deres overordnede forståelse af cybersikkerhedshændelser og hvordan de kan påvirke den daglige drift og hjælpe dem med at etablere en problemfri proces til at reagere på og rapportering af trusler.
Hvordan NIS2 gælder for britiske organisationer
Selvom Storbritannien har forladt EU, vil NIS 2-direktivet stadig påvirke mange britiske virksomheder. Ifølge Ann Keefe, regional direktør for UK & Ireland hos it-firmaet Kingston Technology, omfatter dette britiske virksomheder, der handler med EU-medlemslande. Hun siger, at de skal følge NIS 2-kravene, hvis "de ikke ønsker at blive fanget ud" af EU-regulatorer.
Men selvom en britisk virksomhed ikke har EU-forretningsinteresser, kan det være i deres bedste interesse at følge de omfattende NIS 2-krav. Rob O'Connor, teknologileder og CISO for EMEA hos det globale teknologifirma Insight, påpeger, at Storbritanniens kommende lov om cybersikkerhed og modstandsdygtighed vil have en vis crossover med NIS 2. Han foreslår, at det kan være en "omkostningseffektiv" at vedtage NIS 2-standarderne ” måde at håndtere stigende cybersikkerhedsrisici.
For britiske organisationer, der er påvirket af NIS 2 sikkerhedsrisikostyring og rapporteringskrav, siger Palmer fra Censys, at de bliver nødt til at implementere sofistikerede cybersikkerhedsforanstaltninger, foretage regelmæssige risikovurderinger og sikre sikkerheden i deres forsyningskæder.
"De er nødt til at rapportere væsentlige sikkerhedshændelser til EU-myndighederne inden for stramme tidsrammer, samarbejde under undersøgelser og kan være nødt til at udpege en EU-repræsentant til at styre regulatorisk kommunikation," siger han. "Kontrakter med EU-kunder bør omfatte NIS 2-overholdelsesklausuler, der sikrer, at organisationen opfylder juridiske forpligtelser og beskytter mod cybertrusler."
Forberedelse til NIS 2
Med NIS 2-overholdelsesfristen hurtigt nærmer sig, skal virksomheder, der ikke er begyndt at forberede sig på dens ankomst, gøre det nu. Men hvilke skridt indebærer dette? Ifølge Parsons fra ISC2 er det første skridt at afgøre, om en virksomhed selv skal overholde NIS 2, eller om loven gælder for dens leverandører.
For at gøre dette siger han, at de skal vurdere, om virksomheden opererer i en "essentiel" eller "vigtig" sektor i henhold til NIS-definitionerne. Parsons tilføjer, at virksomheder, der er underlagt NIS-direktiverne, derefter skal identificere og afbøde cybersikkerhedsrisici som en del af en bred risikovurdering.
”På baggrund af risikovurderingen skal der implementeres passende tekniske og organisatoriske foranstaltninger. Virksomheder skal forberede sig på hændelser ved at lave responsplaner og processer til at rapportere væsentlige hændelser til relevante myndigheder,” siger han.
Som genlyd af lignende tanker opfordrer Joyce of Macrium virksomheder til at vurdere deres cyberstilling og spørge sig selv, om de i øjeblikket har midlerne til at komme sig fra en hændelse så hurtigt som muligt.
Hvis ikke, anbefaler han at implementere en genopretningsplan for cyberhændelser forstærket med en backup-løsning, recovery point-mål (RPO) og recovery time-mål (RTO). RPO refererer til det maksimale datatab, en virksomhed kan lide efter et cyberangreb, mens RTO er den maksimale tid, virksomheder kan klare sig uden it-netværk og -tjenester.
Da NIS 2 fokuserer specifikt på forsyningskædesikkerhedsrisici, rådgiver Joyce virksomheder til at evaluere, hvordan deres leverandører og partnere griber cybersikkerhedsspørgsmål an. Han tilføjer også, at virksomheder skal lære deres personale, hvordan de identificerer og rapporterer cybersikkerhedstrusler, og tilføjer, at "klare strukturer for ansvar og rapportering er afgørende."
Han konkluderer: “Compliance er ikke en enkeltstående opgave; det kræver løbende vedligeholdelse og årvågenhed, så virksomheder bør holde sig informeret om skiftende krav og fremme en kultur med kontinuerlig forbedring af cyberresiliens."
