NIS2 - Vad svenska företag behöver förbereda sig på

NIS2 direktivet från EU är ett gediget dokument, mycket är riktat mot Sverige som medlemsstat. Vi har sammanfattat de primära delarna som berör de företag som regleras under NIS2. Vi tittar även på kopplingen mot ISO 27001:2022.  

NIS2 direktivet (2022/2555) är i pappersform över 90 sidor långt, det kan vara svårt att få en bra överblick av vad som förväntas av en organisation som faller under kriterierna för NIS2. Vi sammanställer här det vi ser är essensen av NIS2 för berörda organisationer utifrån vad EU-direktivet föreskriver. Den faktiska implementationen av NIS2 i respektive EU land kan skilja något från direktivet, dock skall grundkraven följa EU direktivet.  
 
Artikel 21 med rubriken ”Riskhanteringsåtgärder för cybersäkerhet” tar upp de områden som förväntas beaktas för att hålla en god nivå på cybersäkerhet med fokus på att arbetet skall vara riskbaserat. Detta betonas i punkt 1 i artikeln:

”.. att väsentliga och viktiga entiteter vidtar lämpliga och proportionella tekniska, driftsrelaterade och organisatoriska åtgärder för att hantera risker som hotar säkerheten…”

I ett LIS baserat på ISO 27000 standarden faller det sig naturligt att arbeta riskbaserat, detta adresseras bl.a. i 27001:2022 stycke 6.1. Där det i samband med NIS2 kan finnas läge att se över hur riskbedömningar både genomförs och dokumenteras för att säkerställa att kraven i NIS2 efterlevs. 

Punkt 2 i artikel 21 detaljerar mer inom vilka områden NIS2 ser att cybersäkerhetsarbetet behöver fokuseras på i förhållande till det riskbaserade arbetssättet. De områden som berörs är nedan, där de generella kraven beskrivs i detta blogginlägg, utöver dessa förekommer det för vissa sektorer specifika genomförandeakter från EU som ytterligare fastställer detaljer inom respektive område.

Strategier för riskanalys och informationssystemens säkerhet  

Ett etablerat Ledningssystem för Informationssäkerhet (LIS) är grunden för arbetet med vad som i den svenska versionen benämns som ”Strategier” vilket är översatt från Engelskan ”Policies”. Där huvudpunkten i ISO27001:2022 är kontrollen 5.1.  

Incidenthantering 
Att effektivt kunna hantera incidenter för att minimera påverkan i händelse av en incident vilket hanteras bl.a. under kontroll 5.26 i ISO27001:2022.  

Driftskontinuitet 
Som en del i incidenthantering finns behov av att kunna hantera återläsning, katastrofer, i värsta fall kriser. Detta omfattar flertalet kontroller i ISO27001:2022, vilka bland annat är 5.29, 5.30 samt 8.13.  

Säkerhet i leveranskedjan 
De leverantörer som används för att upprätthålla IT för kritiska leveranser måste också möta de krav som ställs på dem, där behov finns för hantering av detta i avtal men även uppföljning. I ISO 27011:2022 är det kontrollerna 5.19, 5.20, 5.21 och 5.22 samt vid användning av molnet även 5.23. 

Säkerhet vid förvärv, utveckling och underhåll av nätverks- och informationssystem  

Området inkluderar även hantering av sårbarheter och sårbarhetsinformation. På grund av bredden på kraven hamnar många av kontrollerna i område 8 ”Technology Controls” i ISO 27001:2022 inom området för detta krav.  

Strategier och förfaranden för att bedöma effektiviteten i riskhanteringsåtgärderna för cybersäkerhet 

Kontroll av att de åtgärder som är genomförda ger förväntat resultat är grundläggande för att kunna säkerställa att skyddsnivån ökar på grund av åtgärder. Detta görs med fördel genom planerade granskningar vilket i ISO 27001:2022 landar under kontroll 5.35, men det bör även beaktas vid incidenter vilket styrs mer i kontroll 5.27. Det kan även vara värt att ta inspiration från NIST CSF PR.IP-8 och dess referenser till både COBIT och NIST SP 800-53.   

Strategier och förfaranden för användning av kryptografi och, när så är lämpligt, kryptering. 

Kryptering kan öka säkerheten, samtidigt som en dålig implementation eller hantering kan ge en falsk säkerhet där krypteringen inte ger ett skydd. Här är det av stor vikt att både krypteringens styrka men även hanteringen av de hemligheter som krävs för krypteringen är korrekt hanterade. Kontrollen 8.24 i ISO 27001:2022 omfattar detta område.    

Personalsäkerhet, strategier för åtkomstkontroll och tillgångsförvaltning

För att ha en god åtkomstkontroll krävs det även god kontroll över tillgångarna, där kontroll av tillgångarna bl.a. hanteras i kontroll 5.9 i ISO 27001:2022 och åtkomstkontrollen hanteras i bl.a. 5.15, 5.16 och 5.18.  

Användning inom entiteten, när så är lämpligt, av lösningar för multifaktorautentisering eller kontinuerlig autentisering, säkrade röst-, video- och textkommunikationer och säkrade nödkommunikationssystem. 

Den sista punkten i artikel 21.2 innehåller flertalet olika krav, där första riktar sig in på att bekräfta den faktiska identiteten på en användare genom att använd metod för säkrare inloggning, där säker auktorisering hanteras i kontroll 8.5 i ISO 27001:2022.  
Säkrade röst-, video- och textkommunikationer inkl. nödkommunikation har inte en lika tydlig koppling gentemot ISO 27001:2022, här behöver man bedöma om man kan anse att det är del i säker hantering av information som hanteras i kontroll 5.14 och nödkommunikation möjligen är del av kontinuitetshantering som ligger i kontroll 5.30.  

Incidentrapportering 

Artikel 23 tar upp kraven gällande rapportering, där grundkravet är att rapportering av incidenter som har en betydande påverkan av leveransen av de kritiska tjänsterna skall göras utan dröjsmål dock senast 24 timmar efter att organisationen fått kännedom om incidenten. Sett till ISO27001:2022 är det den huvudkontrollen som påverkas 5.26 samt de kontroller som refereras i 5.26.  

Är ISO 27001 certifiering tillräckligt för att leva upp till NIS2? 

De flesta som har ett LIS etablerad idag kommer behöva göra anpassningar för att leva upp till kraven i NIS2, där den styrande faktorn på vad och hur uppdateringarna behöver göras grundar sig i riskhanteringen och identifierade risker. Det som dock är klart är att det är en stor fördel att ha ett etablerat LIS som grund för att bygga vidare på.  

Det skall även noteras att sammanställningen i denna blogg-artikel är generaliserad där Er verklighet och risker kan medföra att ytterligare / andra ISO 27001 kontroller är relevanta än de som listade.  

Jag har inget LIS idag, kan jag vänta tills NIS2 närmar sig? 

Att implementera ett LIS betyder flertalet steg, med start i en riskanalys och beslut om säkerhetsåtgärder, därefter etableras de styrande dokumenten som är grund till de mer beskrivande dokument som detaljerar vad och hur man skall arbeta. Ett av de viktigaste stegen är den förändringsresa som hela organisationen behöver göra för att börja leva efter vad LIS föreskriver, där tidsåtgången för detta beror på organisationens storlek, mognadsgrad, vana av övriga ledningssystem, arbetsbelastning och flertalet andra faktorer.

Cegal och NIS2  

Cegal´s konsulter inom informations- och cybersäkerhet kan stötta er i arbetet med att etablera LIS, antingen genom att ta ett helhetsansvar och driva arbetet med er, eller som stöd i specifika delar av etableringen av LIS.   
 
Cegal´s hälsocheck av redan etablerat LIS ger er en extern bild av hur ert LIS mår, där kontroll görs av både LIS samt även organisationens efterlevnad för utvalda delar av LIS.