Helsesektoren – hva er nytt i NIS2?

Med utvidet virkeområde, strengere krav tilrisikohåndtering og hendelsesrapportering og dessuten strengere sanksjoner vedmanglende etterlevelse er det nye NIS2-direktivet det mest omfattendeeuropeiske cybersikkerhetsdirektivet til dags dato. Helsesektoren har alleredevært berørt av NIS1, og her kan du lese om hvordan NIS2 påvirker bådeoffentlige og private helsevirksomheter.

November 9, 2023
Forfatter:
Per Lagerström
Director of Communication & Marketing
Reviewer:
Joakim Hejestad
Director Of Business Development
Spread the word

Helsesektoren er en av hjørnesteinene i deteuropeiske samfunnet og den europeiske økonomien. Med potensielt fatalekonsekvenser ved et vellykket cyberangrep anses sektoren som vesentlig iNIS2-direktivet. Dermed blir den også underlagt de strengeste kravene ogforpliktelsene.

Samtidig står helsevesenet overfor flerecybersikkerhetsutfordringer. Én av dem er mangel på digital standardiseringkombinert med håndtering av følsomme opplysninger. Mange virksomheter sliterogså med gammel teknologi og begrensede ressurser. I tillegg er helsevesenetofte fragmentert og hemmet av at flere systemer må brukes om hverandre.

En annen viktig sårbarhet er at ansatte ihelsevesenet ikke får tilstrekkelig opplæring i cybersikkerhet, noe som økerrisikoen for menneskelige feil og sikkerhetsbrudd.

NIS2 har omfattende krav til sektoren

Helsevirksomheter er allerede underlagt strenge personvernregler. NIS2 leggertil enda et sett med cybersikkerhetskrav – både for å beskyttepasientopplysninger og for å sikre kontinuiteten i helsetjenestene.

På kort sikt kan dette innebære økte kostnaderknyttet til ny teknologi og nye prosedyrer for at virksomhetene skal overholdekravene. Men på lang sikt kan det føre til økt sikkerhet, bedre personvern ogøkt tillit til digitale helsetjenester.

 

Bevisstgjøring– ett av ti viktige sikkerhetstiltak

NIS2-direktivet krever at helsesektoren og andre samfunnsviktigetjenester innfører ti grunnleggende sikkerhetstiltak for å håndtere ulikecybertrusler:

- risikovurderinger og sikkerhetsretningslinjer forinformasjonssystemer

- retningslinjer og prosedyrer for evaluering aveffekten av sikkerhetstiltakene

- retningslinjer og prosedyrer for bruk av kryptering

- en plan for håndtering av sikkerhetshendelser

- sikkerhet ved innkjøp og utvikling av systemer

- sikkerhetsrutiner for ansatte med tilgang tilfølsomme eller viktige opplysninger

- en plan for driften under og etter ensikkerhetshendelse

- bruk av flerfaktorautentisering

- sikkerhet iforsyningskjeden og forholdet til underleverandører

- opplæring i cybersikkerhet og god digital hygiene 

Opplæring i cybersikkerhet er et viktig punkt pådenne listen. I tillegg er det allment kjent at bevisstgjøring er enforutsetning når man skal bygge en sikkerhetskultur som gjør at man kanoverholde mange av de andre tiltakene i NIS2.

Uten kontinuerlig opplæring året rundt vil mange av sikkerhetstiltakenemislykkes – ofte på grunn av menneskelige feil.

Oppdaterte 2024-utgaver av kursene iinformasjonssikkerhet

Vi tilbyr oppdaterte kurs i informasjonssikkerhet for alle ansatte,ledere, toppledere og styrer – et viktig skritt på veien motNIS2-etterlevelse.

Eller hva med en introduksjon tilNIS2-direktivet? Dette kurset gir ledelsen en bedre forståelse av hvavirksomheten trenger for å oppfylle kravene i NIS2-direktivet.

Siste innlegg om cybersikkerhet

November 18, 2022
Information Security

Bekjemp menneskelige impulser. Styrk STAR-oppførselen din!

Så mange som 80% av alle datainnbrudd skyldes helt eller delvis dårlig brukeradferd.
Les mer
August 8, 2023
NanoLearning

Mediekonsum er ikke læring

Å lese eller se på innhold betyr ikke at vi lærer. For effektiv læring trengs struktur, gjentakelse og refleks – som i målrettet nanolæring.
Les mer
May 24, 2024
Phishing

Phishing-simuleringer skal bygge tillit – ikke skape frykt

Den største utfordringen er at cybersikkerhet må bli noe som angår alle. For å komme dit må vi bygge tillit, ikke skape frykt.
Les mer
Se alle