Klubban har svingats
Nu har det hänt! EU-parlamentets klubba har svingats och mött bordsytan i en resolut knackning. Direktivet om nät- och informationssäkerhet - NIS - uppdateras till NIS2 och EU:s medlemsländer skall nu, inom 21 månader, implementera direktivet i sina respektive nationella lagstiftningar. Vad innebär detta, och vilka berörs? Säger direktivet något specifikt angående säkerhetsmedvetenhet och säkerhetsutbildning? Nimblr reder ut begreppen.
NIS-direktivet, vars syfte är att uppnå hög gemensam nivå på säkerhet i nätverk och informationssystem inom EU, trädde i kraft 2018 genom "Lag (2018:1174) om informationssäkerhet för samhällsviktiga och digitala tjänster". Direktivet har sedan införandet kritiserats för att vara ofullständigt, ospecifikt och uddlöst, samt för att ha underskattat den ökade hotbilden och den snabba utvecklingen inom området. Vidare har behovet av utökat samarbete och samordning mellan EU:s medlemsländer inom detta område lyfts. Den 28 november 2022 klubbades därför beslutet om NIS version 2 igenom. Uppdateringen innebär en vidgning och skärpning av det ursprungliga direktivet, med nya bestämmelser och ökade skyldigheter för betydligt fler aktörer än tidigare.
Allriskperspektiv med ökad tillsyn
NIS2-direktivet fastställer skyddsåtgärder för både lagring och överföring av data som anses vara av vikt för upprätthållande av samhällsbärande funktioner. Här förespråkas ett allriskperspektiv, med höjd beredskap för såväl naturbetingade risker och tekniska fel som för mänskliga misstag och cyberbrott. NIS2-direktivet betonar även vikten av säkra leverantörskedjor, vilket innebär att högre säkerhetskrav ställs på betydligt fler företag, myndigheter och organisationer än tidigare. Vidare får EU-ländernas tillsynsmyndigheter ökade möjligheter att utdöma varningar och sanktioner när berörda aktörer brister i sitt säkerhetsarbete.
Fler berörda parter
Det ursprungliga NIS-direktivet gällde verksamheter inom följande sektorer:
- Energi
- Transport
- Bankverksamhet
- Finansmarknadsinfrastruktur
- Hälso- och sjukvårdssektor
- Leverans och distribution av färskvatten
- Digital infrastruktur
NIS2 fortsätter gälla för dessa sektorer samt för följande sektorer:
- Leverantörer av offentliga elektroniska kommunikationsnät eller kommunikationstjänster
- Avlopps- och avfallshantering
- Rymdverksamhet
- Tillverkningsindustrin
- Post
- Livsmedel
Utöver direkt berörda verksamheter kommer antalet indirekt berörda entiteter att öka, då dessa ingår i samhällsviktiga leverantörskedjor. NIS2-direktivet omfattar dessutom verksamheter utanför EU som levererar tjänster till EU-länder.
Cybersäkerhetsutbildning och medvetandehöjande åtgärder
Ytterligare en nyhet i det uppdaterade NIS-direktivet är ökade krav på säkerhetsmedvetenhet hos företagsledningar. Det kommer inte längre att vara tillräckligt att enbart lämna över säkerhetsfrågor till verksamhetens IT-avdelningar, då direktivet fastslår att: "Medlemsstaterna ska säkerställa att ledningsorganens medlemmar regelbundet genomgår särskild utbildning för att skaffa sig tillräckliga kunskaper och kompetenser så att de förstår och kan bedöma cybersäkerhetsrisker och praxis för hantering av cybersäkerhet och deras inverkan på entitetens verksamhet." Som ett led i denna säkerställan lyfts behovet av mätbarhet; verksamheters policyer skall på ett tydligt sätt påvisa en prioritering av cybersäkerhet, bl.a. genom relevanta utbildningsprogram och medvetandehöjande åtgärder för alla anställda. Direktivet förespråkar således inte enbart en skärpning av synen på IT-säkerhet utan även en vidgning av begreppet, där inte enbart tekniska och reaktiva skyddsåtgärder nämns utan även pedagogiska och proaktiva ansatser.
Nimblr och NIS2
I Nimblr ser vi positivt på att det från EU:s håll förordas ett ökat cybersäkerhetsfokus, då vårt samhälle blir alltmer beroende av säkra system för lagring och överföring av data. Vi förstår samtidigt att omställningen till NIS2 kan bli tids- och resursmässigt kostsam. Dessutom uppstår lätt en osäkerhet i samband med förändring, med frågor som “Vad är tillräcklig säkerhetsnivå?” och “Hur vet vi om våra vidtagna åtgärder har effekt?”. Rörande träning och utbildning är Nimblr’s automatiserade lösning ett utmärkt sätt för er verksamhet att uppnå de utbildningskrav som fordras av NIS2-direktivet. Med Nimblr Security Awareness Training tryggas er NIS2-övergång genom tillgång till relevant och uppdaterad information, interaktiva simuleringar och verksamhetsanpassade utbildningsmoment.
