Den offentliga sektorn — vad är nytt med NIS2?
Med ett bredare omfång av sektorer, strängare krav på riskhantering och incidentrapportering och hårdare påföljder för bristande efterlevnad är det nya NIS2-direktivet det mest omfattande europeiska cybersäkerhetsdirektivet hittills. NIS2-direktivet definierar den offentliga sektorn som en ”samhällsviktig verksamhet” och betonar vikten av att skydda sektorn mot cyberhot.
Den offentliga sektorn står inför flera typer av utmaningar – där många är en kombination av låg medvetenhet, begränsade resurser och stora, komplexa IT-system.
Tre angreppsmetoder sticker ut och bör stå högt på den offentliga cybersäkerhetsagendan: ransomware, phishing och statligt sponsrade attacker. Offentlig sektor är dessutom särskilt sårbar eftersom medarbetare sällan får utbildning i cybersäkerhet.
NIS2-direktivet kommer att få stora konsekvenser för offentliga sektorn. Säkerhetsincidenter inom sektorn kan äventyra känslig persondata och störa viktiga samhällsfunktioner – vilket i sin tur kan skapa instabilitet på både lokal och nationell nivå.
Enligt NIS2 behöver den offentliga sektorn införa förstärkta säkerhetsåtgärder för att skydda känslig information, som personuppgifter, finansiell information och data om kritisk infrastruktur mot cyberattacker.
Kontinuerlig riskanalys – ett nytt krav
NIS2 ställer också krav på återkommande riskbedömningar. Syftet är att säkerställa att organisationer har kapacitet att identifiera förbättringsområden – så att samhällsviktiga tjänster kan hållas i gång även vid en cyberincident.
Utbildning är avgörande
För att leva upp till NIS2 måste offentliga organisationer investera i utbildning för medarbetare. Detta är särskilt viktigt med tanke på den varierande grad av medvetenhet inom cybersäkerhet inom sektorn – ett säkerhetsproblem i sig.
Det nya fokuset på utbildning för alla medarbetare och efterlevnad av regler är ett viktigt steg för att stärka sektorns motståndskraft. Samtidigt kommer kraven på regelbundna riskbedömningar och incidenthanteringsplaner att bidra till att sektorn håller sig vaksam och förberedd.
Medvetenhetsträning – en av 10 grundläggande cyberhygienåtgärder
NIS2 kräver att offentlig sektor och andra samhällsviktiga verksamheter implementerar 10 grundläggande säkerhetsåtgärder för att hantera troliga cyberhot:
- Riskbedömningar och säkerhetspolicyer för informationssystem
- Rutiner för att utvärdera säkerhetsåtgärders effektivitet
- Policys och rutiner för användning av kryptering
- En plan för hantering av säkerhetsincidenter
- Säkerhet vid upphandling, utveckling och drift av system
- Rutiner för personal med tillgång till känslig eller viktig data
- Plan för att driva verksamheten under och efter en incident
- Användning av multifaktorautentisering
- Säkerhet i leverantörskedjor och samarbeten med leverantörer
- Cybersäkerhetsutbildning och grundläggande digital hygien
Cybersäkerhetsutbildning är inte bara en punkt på listan. Det är välkänt att medvetenhetsträning är en avgörande del i att skapa den säkerhetskultur som krävs för att leva upp till många av de andra kraven i NIS2.
Utan kontinuerlig träning under hela året riskerar många rutiner att fallera – på grund av mänskliga misstag.
Utbildning som gör skillnad
Våra uppdaterade utbildningar för 2024 inom Informationssäkerhet – medvetenhetsträning riktar sig till alla medarbetare, chefer, ledare och styrelser, och är en viktig del i att bli NIS2-kompatibel.
Eller varför inte börja med vår kurs Introduktion till NIS2? Den ger ledningen en tydlig förståelse för vad er organisation behöver för att leva upp till de nya kraven.
