Offentlig sektor – hva er nytt i NIS2?
Med utvidet virkeområde, strengere krav tilrisikohåndtering og hendelsesrapportering og dessuten strengere sanksjoner vedmanglende etterlevelse er det nye NIS2-direktivet det mest omfattendeeuropeiske cybersikkerhetsdirektivet til dags dato. NIS2-direktivet definereroffentlig forvaltning som en «vesentlig samfunnsviktig tjeneste», noe somunderstreker hvor viktig det er å beskytte sektoren mot cybertrusler.
Offentlig sektor står overfor ulike typerutfordringer, ofte ser man en kombinasjon av lav bevissthet om cybertrusler,begrensede ressurser og store, komplekse IKT-systemer. Tre angrepsvektorerpeker seg ut: løsepengevirus, phishing og statsstøttede angrep må stå høyt pådagsordenen for offentlig cybersikkerhet.
I offentlig sektor får de ansatte sjeldenopplæring om cybertrusler, noe som gjør den ekstra sårbar for cyberangrep.
Store konsekvenser for offentlig sektor
NIS2-direktivet får store konsekvenser for offentlig sektor. Sikkerhetsbruddher kan true følsomme opplysninger om borgerne og forstyrre vesentligesamfunnsviktige tjenester – noe som i sin tur kan føre til lokal ognasjonal destabilisering.
I henhold til NIS2-direktivet må offentlig sektorinnføre forbedrede sikkerhetstiltak for å beskytte følsomme opplysninger motcyberangrep. Dette kan for eksempel være personopplysninger om innbyggerne,finansielle opplysninger og opplysninger om kritisk infrastruktur. Det stillesogså krav om kontinuerlige risikovurderinger som skal identifisereforbedringsområder og sikre at vesentlige tjenester fungerer selv undercyberangrep.
Opplæring er avgjørende
For å etterleve de nye kravene må virksomheter i offentlig sektor investere iopplæring av ansatte i cybersikkerhet. Det er ekstra viktig med tanke på atikke alle ansatte er like bevisste, noe som i seg selv utgjør en betydeligsikkerhetsrisiko.
Det økte fokuset på opplæring og etterlevelse skalgi bedre beskyttelse av sektoren, mens kravene om regelmessigerisikovurderinger og beredskapsplaner bidrar til å holde virksomhetene påalerten.
Bevisstgjøring– ett av ti viktige sikkerhetstiltak
NIS2-direktivet krever at offentlig forvaltning og andre samfunnsviktigetjenester innfører ti grunnleggende sikkerhetstiltak for å håndtere ulikecybertrusler:
• risikovurderinger ogsikkerhetsretningslinjer for informasjonssystemer
• retningslinjer og prosedyrer for evalueringav effekten av sikkerhetstiltakene
• retningslinjer og prosedyrer for bruk avkryptering
• en plan for håndtering avsikkerhetshendelser
• sikkerhet ved innkjøp og utvikling avsystemer
• sikkerhetsrutiner for ansatte med tilgangtil følsomme eller viktige opplysninger
• en plan for driften under og etter ensikkerhetshendelse
• bruk av flerfaktorautentisering
• sikkerhet i forsyningskjeden og forholdettil underleverandører
• opplæring i cybersikkerhet og god digitalhygiene
Opplæring i cybersikkerhet er et viktig punkt pådenne listen. I tillegg er det allment kjent at bevisstgjøring er enforutsetning når man skal bygge en sikkerhetskultur som gjør at man kanoverholde mange av de andre tiltakene i NIS2.
Uten kontinuerlig opplæring året rundt vil mangeav sikkerhetstiltakene mislykkes – ofte på grunn av menneskelige feil.
Oppdaterte 2024-utgaver av kursene iinformasjonssikkerhet
Vi tilbyr oppdaterte kurs i informasjonssikkerhet for alle ansatte, ledere,toppledere og styrer – et viktig skritt på veien mot NIS2-etterlevelse.
Eller hva med en introduksjon til NIS2-direktivet?Dette kurset gir ledelsen en bedre forståelse av hva virksomheten trenger for åoppfylle kravene i NIS2-direktivet.
