NIS2 og digital infrastruktur: Hva er nytt?
Med utvidet virkeområde, strengere krav tilrisikohåndtering og hendelsesrapportering og dessuten strengere sanksjoner vedmanglende etterlevelse er det nye NIS2-direktivet det mest omfattendeeuropeiske cybersikkerhetsdirektivet til dags dato. Etter hvert som vi blirstadig mer avhengige av digital teknologi, blir datasentrene selve ryggraden isamfunnet. Det betyr at sektoren for digital infrastruktur blir et attraktivtmål for ondsinnede aktører.
Sektoren for digital infrastruktur står overforflere utfordringer når det gjelder cybersikkerhet. Noen er knyttet til dentekniske driften, andre til menneskene som forvalter systemene. Løsepengeviruser selvsagt en stor trussel som fører til nedetid og vanskeligheter med ågjenopprette systemene.
Sektoren er også svært avhengig avtredjepartsleverandører for ulike tjenester, og dette kan føre til ytterligererisiko hvis leverandørene mangler tilstrekkelige sikkerhetstiltak. Sikkerhet iforsyningskjeden er helt avgjørende.
Mangelen på fagfolk innenfor cybersikkerhet oghøye kostnader forbundet med sikkerhetstiltak gjør det krevende å sikre dendigitale infrastrukturen. Fysiske sikkerhetssystemer, som kameraer ogadgangskontroll, er nødvendige for å beskytte mot komplekse fysiske angrep.Samtidig gir bruken av IoT-enheter og mengden data de genererer, en størreangrepsflate.
Digital infrastruktur og konsekvenser av NIS2
NIS2-direktivet får store konsekvenser for sektoren for digital infrastruktur,og direktivet vil påvirke alle sider av driften. Det stilles blant annet kravtil oppgradering av fysisk sikkerhet og bedre beredskaps- oggjenopprettingsplaner.
Aktører i denne sektoren kan også forvente forsterket regulatorisk tilsyn,ettersom tilsynsmyndighetene i EU intensiverer arbeidet med å håndheveNIS2-direktivet og holde virksomheter ansvarlige for å beskytte kritiske systemerog nettverk.
Bevisstgjøring– ett av ti viktige sikkerhetstiltak
NIS2-direktivet krever at sektoren for digitalinfrastruktur og andre samfunnsviktige tjenester innfører ti grunnleggendesikkerhetstiltak for å møte ulike cybertrusler:
- risikovurderinger ogsikkerhetsretningslinjer for informasjonssystemer
- retningslinjer og prosedyrer for evalueringav effekten av sikkerhetstiltakene
- retningslinjer og prosedyrer for bruk avkryptering
- en plan for håndtering avsikkerhetshendelser
- sikkerhet ved innkjøp og utvikling avsystemer
- sikkerhetsrutiner for ansatte med tilgangtil følsomme eller viktige opplysninger
- en plan for driften under og etter ensikkerhetshendelse
- bruk av flerfaktorautentisering
- sikkerhet i forsyningskjeden og forholdettil underleverandører
- opplæring i cybersikkerhet og god digitalhygiene
Opplæring i cybersikkerhet er et viktig punkt pådenne listen. I tillegg er det allment kjent at bevisstgjøring er enforutsetning når man skal bygge en sikkerhetskultur som gjør at man kanoverholde mange av de andre tiltakene i NIS2. Uten kontinuerlig opplæring åretrundt vil mange av sikkerhetstiltakene mislykkes – ofte på grunn avmenneskelige feil.
Oppdaterte 2024-utgaver av kurs fra Junglemap
Vi tilbyr oppdaterte kurs i informasjonssikkerhet for alle ansatte, ledere,toppledere og styrer – et viktig skritt på veien mot NIS2-etterlevelse.
Eller hva med en introduksjon tilNIS2-direktivet? Dette kurset gir ledelsen en bedre forståelse av hvavirksomheten trenger for å oppfylle kravene i NIS2-direktivet.
