NIS 2 kommer: Her er hvad britiske organisationer behøver at vide
Indholdsfortegnelse:
Det Forenede Kongeriges Forordninger om netværk og informationssystemer (NIS). trådte i kraft i maj 2018 efter EU's NIS-direktiv fra 2016. På grund af tidspunktet for deres introduktion fokuserede de fleste medier på dagens større historie: ankomsten af den nye GDPR. Men i forsøget på at forbedre basissikkerheden blandt "operatører af væsentlige tjenester" (OES) i kritiske infrastruktursektorer, var NIS-forordningerne ikke mindre vigtige.
UK NIS søgte at give mandat til udviklingen af et nationalt hændelsesstyringsapparat, forbedre informationsdelingen mellem medlemslandene og forbedre risikostyringen blandt OES-samfundet. Men tiden er cybersikkerhedsplanlæggernes fjende, og EU godkendte for nylig en ny version: NIS2-direktivet. Det vil gælde for alle UK-baserede OES-organisationer, som opererer i EU.
Men nu har Storbritannien forladt blokken; dens reguleringsordningen vil afvige fra NIS 2. Ikke alt er fuldstændigt udfyldt endnu, men lad os se, hvad implikationerne er for organisationer inden for rammerne, som det ser ud.
Hæver barren for EU-dækkende cybersikkerhed
As Deloitte forklarerNIS 2 blev designet med tre mål for øje:
- Forbedre cyberresiliens i et stigende antal OES-sektorer i hele EU
- Reducer uoverensstemmelser i niveauer af modstandsdygtighed i sektorer, der allerede er omfattet af NIS
- Forbedre informationsdeling yderligere og opsætte nye regler for hændelsesreaktion og derved øge tilliden mellem kompetente myndigheder (regulatorer)
Mere specifikt indeholder det flere nye elementer:
En bredere rækkevidde: NIS 2 dækker organisationer i nye sektorer som telekommunikation, sociale medier, spildevand og fødevarer og vil gælde for alle mellemstore og store organisationer i de sektorer, der anses for at være udbydere af "væsentlige" eller "vigtige" tjenester. Nogle offentlige organisationer vil også være omfattet.
Højere bøder: Regulatorer vil være i stand til at pålægge bøder for alvorlig manglende overholdelse af op til 2 % af den årlige omsætning eller €10 mio. (£8.6 mio.), alt efter hvad der er højest.
Grundlæggende sikkerhedskrav: NIS 2 indfører et minimumssæt af foranstaltninger, som alle organisationer skal overholde. Disse omfatter:
- Risikostyring og informationssikkerhedspolitikker
- Hændelsesstyring til forebyggelse, opdagelse og reaktion på cyberhændelser
- Forretningskontinuitet og krisehåndtering
- Supply chain sikkerhed
- Test og revision af sikkerhedsforanstaltninger
- Stærk kryptering
Sikkerhed i forsyningskæden: Organisationer vil være ansvarlige for at styre cybersikkerhedsrisici i deres forsyningskæder og overvåge leverandørsikkerhedsposition.
Direktørens ansvar: Seniorledere vil blive holdt ansvarlige for modenheden af deres sikkerhedsfunktion. De skal modtage cybersikkerhedstræning og gennemføre regelmæssige risikovurderinger i overensstemmelse hermed.
Hændelsesrapportering: Enhver hændelse med potentielt alvorlig påvirkning skal rapporteres til regulatoren inden for 24 timer efter opdagelsen. En fuldstændig anmeldelsesrapport skal sendes efter 72 timer, før en endelig rapport en måned efter den første hændelse.
Hvad er nyt for Storbritannien?
I sit svar på en opfordring til synspunkter om forslag til forbedring af britisk cyberresiliens var regeringen ret utvetydig omkring NIS 2 og sagde: "I betragtning af at Storbritannien ikke længere er bundet af EU-lovgivningen og ikke vil implementere NIS 2, vil der være forskelle mellem EU og Storbritannien. Storbritanniens lovgivning er designet til den britiske økonomi og for at maksimere fordelene for Storbritannien."
Så hvad betyder det i praksis? Her er de vigtigste divergensområder:
Administrerede tjenesteudbydere (MSP'er): Storbritannien vil udvide typen af digitale tjenesteudbydere (i øjeblikket begrænset til søgemaskiner, online markedspladser og cloud-udbydere) til MSP'er. Dette inkluderer udbydere, der er:
- B2B
- Fokus på IT-tjenester
- Afhængig af netværk og informationssystemer
- Ydelse af regelmæssig ledelse og support, aktiv administration og/eller overvågning af it-systemer, infrastruktur, netværk og/eller sikkerhed
Dette står i kontrast til NIS 2, som tilføjer flere nye sektorer til listen omfattet af forordningen, herunder telekommunikation, sociale medier og offentlig administration. Det er også mere foreskrivende med hensyn til organisationens størrelse at sikre, at kun mellemstore og store er dækket.
Hændelsesmeddelelse: Det Forenede Kongerige foreslår, at en bredere række af hændelser rapporteres til regulatoren, herunder dem, der udgør en høj risiko for eller væsentligt påvirker en tjeneste, selvom de ikke forstyrrer den.
NIS 2 indeholder også mere krævende krav til rapportering af "væsentlige hændelser" - det vil sige dem, der har forårsaget eller er i stand til at generere væsentlige driftsforstyrrelser eller økonomiske tab for den berørte enhed eller andre. Det kræver også, at indledende rapportering skal foretages inden for 24 timer.
Undtaget organisationer: Datacentre, der ikke er reguleret som cloud-udbydere, vil være undtaget, ligesom softwareudviklere og små/mikrovirksomheder. Tilsynsmyndigheden, ICO, kan dog udpege specifikke små/mikro-digitale tjenesteudbydere til at være omfattet, hvis de anses for at være afgørende for britiske kritiske tjenester eller national sikkerhed.
Udbydere af digitale tjenester: ICO er indstillet til at tage en mere risikobaseret tilgang til at regulere digitale tjenester baseret på, hvor kritiske udbydere er til at levere væsentlige tjenester.
NIS 2 tager en fastere linje med potentielt høje bøder for manglende overholdelse af OES-udbydere.
Fremtidssikrende NIS: Den britiske regering forbeholder sig retten til at ændre reglerne i fremtiden efter høring af offentligheden, potentielt ved at tilføje nye sektorer, der anses for at være kritiske for økonomien.
Hvad du skal gøre
Britiske organisationer skal først beslutte, hvad der gælder for dem: NIS 2, Storbritanniens ændrede NIS-regulativer eller begge dele, ifølge Marija Nonkovic, en advokat ved Burges laks.
"Selvom der er ligheder mellem de to regimer, vil forskellene resultere i et vist niveau af divergens, hvilket vil kræve, at de organisationer, der opererer i EU og Storbritannien, nøje vurderer deres forpligtelser til at overholde cybersikkerhed," forklarer hun.
"Virksomheder bør tage sig tid til at allokere passende ressourcer tidligt for at sikre, at passende sikkerhedsforanstaltninger er på plads for at beskytte mod cybertrusler, samt opretholde modstandsdygtighed i lyset af et cyberangreb for at undgå at pådrage sig de omkostninger og omdømmeskader, der kan følge af cybersikkerhedshændelser."
Udfordringen bliver timing. NIS 2 trådte i kraft den 16. januar 2023 og skal implementeres af medlemslandene inden den 17. oktober 2024. Det er dog usandsynligt, at en ny NIS-forordning vil være på plads før 2024, ifølge juridiske eksperter.
"En forskel i tidspunktet for implementering vil sandsynligvis øge omkostningerne til en vis grad, da virksomheder, der er aktive i både Storbritannien og EU, bliver nødt til at allokere tid og ressourcer til overholdelsesøvelser ved to lejligheder i stedet for én," argumenterer advokatfirmaet Travers Smith. Det er stadig at se, om britisk divergens faktisk vil minimere reguleringsbyrden for indenlandske virksomheder, som regeringen håber.
Så hvad sker der derefter?
Som EY rådgiver, virksomheder, der er omfattet af NIS 2, skal styre deres informationssikkerhedsrisici. Implementering af et informationssikkerhedsstyringssystem (ISMS) er den bedste måde at gøre det på. Dette vil være med til at strømline processen for at overholde standarder som ISO 27001 og ISO 22301, hvilket igen kan give en god ramme for at overholde NIS 2.
For dem, der er laserfokuseret på NIS-forordningerne, ville en lignende tilgang også danne grundlaget for overholdelse. For yderligere information har National Cyber Security Center (NCSC), der fungerer som computersikkerhedshændelsesresponsteam (CSIRT) og enkelt kontaktpunkt (SPOC) for NIS-hændelser, også udgivet en praktisk vejledning. Det er Cyber Assessment Framework (CAF) Collection er en anden nyttig ressource.
Indstil din organisation til succes
Hvis du ønsker at opnå overholdelse af NIS 2 og starte din rejse mod bedre information og cybersikkerhed, kan vi hjælpe.
Download vores essentielle guide til NIS 2, læs mere og bevæbn dig med den indsigt, du har brug for for at være på forkant og sikre, at din organisation er sat op til succes.
