NIS2 utredning
Experttjänster inom förberedelse för att säkerställa NIS2 efterlevnad och maximera din beredskap
Experttjänster inom förberedelse för att säkerställa NIS2 efterlevnad och maximera din beredskap
Skräddarsydda strategier och rådgivning för hållbar ekonomisk tillväxt
Vi kan ta tillfälliga roller i er organisation och därigenom ge er erfarenheter från många olika branscher
Vi har stor erfarenhet av projektledning och är gärna er partner i de förändringar ni har framför er
Personlig sparringpartner för att optimera din roll i företaget / styrelsen
Vi hjälper er få intryck från omvärlden genom heltäckande analyser och rapporter inför ert strategi- och förändringsarbete
Vi garanterar mycket energi samt erfarenhet för att säkra att ditt företag står redo inför nya utmaningar. Med ett dedikerat team av experter strävar vi efter att leverera skräddarsydda lösningar som passar dina unika behov.
Vi har kunskapen och kompetensen att hantera alla dina behov med högsta noggrannhet.
Vi förstår din unika situation och ger skräddarsydd rådgivning för att optimera din strategi.
Från enskilda utmaningar till komplexa företagslösningar erbjuder vi ett komplett utbud av tjänster.
Vårt expertteam ser till att du får rätt hjälp vid vare enskild situation
Direktivet syftar till att påskynda åtgärder och höja EU-medlemsstaternas skyddsnivå när det gäller samhällskritisk infrastruktur. Kort sagt ska informationssäkerheten för samhällsviktiga tjänster öka.
NIS-direktivet skärper kraven på informationssäkerhet vad gäller integritet och tillgänglighet. Detta innebär att personer, processer och teknologi måste beaktas i arbetet för att säkerställa informationssäkerheten inom alla verksamheter som berörs. En överlag bättre förståelse för riskklassificering av information och system, konsekvensberedskap och åtgärdsplaner krävs för att skapa bättre motståndskraft vid eventuella attacker. Incidenter ska rapporteras som ett led i att öka kunskapen och höja beredskapen. Framförallt ligger fokus på nätverks- och informationssystem som används inom verksamheten.
Någonting man kan fråga sig när man ska börja arbeta med att följa NIS-direktivet är vilka delar som är centrala för verksamheten. Detta beror förstås på organisationen i fråga. Den krassa verkligheten är att ingen har möjlighet att skydda alla delar. Tillgångar, hot, risker och riskaptit måste därför vägas noga mot varandra för att hitta en rimlig balans och effektiva åtgärder. Det kan även vara bra att fundera över vilka delar som är mest sårbara för cyberattacker. Generellt är dataöverföring via nätverk eller kommunikation mellan säkerhetsdomäner mest utsatt. Segmentering samt säker dataöverföring är därför ofta avgörande för pålitlig drift. Du bör även fråga dig själv vilken information som är mest skyddsvärd – och om ni skyddar denna tillräckligt väl. Svaret ligger i analysen av dina tillgångar, hot, risker och riskaptit. Genom att förstå en potentiell attackerares förmåga och resurser, får du en bild av hur ett effektivt skydd måste utformas. Vilken risknivå är rimlig? Utgå ifrån konsekvenserna. Vad har verksamheten inte råd att förlora? Vad får absolut inte gå fel?
Alla samhällsviktiga företag har nu 6 huvudsakliga skyldigheter gällande informationssäkerhet:
Organisationen har skyldighet att anmäla till tillsynsmyndigheten att de berörs av NIS-regleringen
Organisationen ska kontinuerligt arbeta strukturerat, metodiskt och riskbaserat med informationssäkerhet enligt vedertagna standardiserade ramverk (ISO 27000-standarden eller motsvarande)
Årligen analysera verksamhetens risker och upprätta åtgärdsplaner. Dessa ska sedan ligga till grund för val av rätt säkerhetsåtgärder.
Vidta ändamålsenliga och proportionella åtgärder för att hantera risker som hotar säkerheten
Vidta lämpliga åtgärder för att förebygga och minimera verkningar av incidenter som påverkar nätverk och informationssystem
Rapportera incidenter som har en betydande inverkan på den samhällsviktiga tjänsten, tex bortfall eller en störning.
Varje verksamhet som berörs kommer nu att behöva ha en välorganiserad incidenthantering, ett strukturerat förhållningssätt till riskhantering och en cybersäkerhetsansvarig på ledningsnivå.
Med verkliga sanktionsavgifter för företag som inte tar hand om sitt ansvar (2 % av försäljningen eller 10 MEUR) samt personligt ansvar för VD och myndighetstillsyn måste du verkligen se till att du följer direktivet!
Så vad ska man göra nu?
Först och främst: Ta reda på om du och/eller dina kunder omfattas av direktivet! Om du till exempel är en verksamhet som tillhandahåller en tjänst som är nödvändig för att upprätthålla kritiska samhälleliga och/eller ekonomiska aktiviteter, till exempel ett energibolag, klassificeras du som en ”operatör av väsentliga tjänster”. Börja sedan med att reda ut vilka krav som ställs på dig och gör en gapanalys mot nuläget.
Här är några åtgärder som alla företag som berörs av NIS måste vidta:
Vidta säkerhetsåtgärder för att skydda nätverkssäkerhet och informationssystem. Detta inkluderar riskanalys och säkerhetspolicyer för informationssystem.
Krav på att rapportera incidenter som påverkar kontinuiteten i tjänsterna (förebyggande, upptäckt och reaktion på incidenter).
Arbeta med affärskontinuitet och krishantering samt leveranskedjans säkerhet. Detta inkluderar att ha policys och rutiner för riskhanteringsåtgärder för cybersäkerhet.
Användning av kryptografi och kryptering.
Tillsyn av utsedda tillsynsmyndigheter
Arbeta systematiskt och riskbaserat med sin informationssäkerhet
Om du har aktiviteter som lyder under säkerhetsskyddslagen kan det vara värt att bevaka NIS lite extra i framtiden. Det har antytts att det särskilda undantaget som gjorde att säkerhetsskyddet alltid bröt mot NIS-direktivet kommer att ändras.
Med nya NIS 2 kommer ledningsgrupper att ha en avgörande och aktiv roll i övervakningen och genomförandet av dessa åtgärder. Vad kan hända om en viktig verksamhet inte uppfyller kraven?
Böter på upp till 10 MEUR eller 2 % av den totala globala årliga omsättningen.
Ledningen får ta ansvar
Tillfälliga förbud riktade mot chefer
Utseende av en övervakningsansvarig