NIS2 – Förtydligade krav för vissa sektorer

På EU nivå har nu en genomförandeförordning gällande tillämpningen av NIS2 antagits som gäller för specifika entiteter, vi belyser mer om kraven och vilka som träffas av dessa i artikeln.

Som stipulerat i NIS2 har EU tagit fram genomförandeförordning (2024/2690) för NIS2 (2022/2555) vilken förtydligar de krav som ställs för verksamheter inom områdena:

• leverantörer av DNS-tjänster
• registreringsenheter för toppdomäner
• leverantörer av molntjänster
• leverantörer av datacentraltjänster
• leverantörer av nätverk för leverans av innehåll
• leverantörer av utlokaliserade driftstjänster
• leverantörer av utlokaliserade säkerhetstjänster
• leverantörer av marknadsplatser online
• leverantörer av sökmotorer
• leverantörer av plattformar för sociala nätverkstjänster
• tillhandahållare av betrodda tjänster
  
  

Incidenter

Artikel 3 till 12 beskriver definitionerna för incidenter och detaljerar vilka incidenter som skall rapporteras med definitioner för respektive form av verksamhet. Tydlighet finns i både hur lång en incident får vara samt mängden påverkade användare för att incident skall klassificeras som tillräckligt allvarlig för att rapporteras. 
Definition finns även för hantering av återkommande incidenter för att täcka att incidenter som var för sig inte är allvarliga, men tillsammans blir allvarliga, också måste rapporteras. 

NIS2 implementering

Artikel 2 tydliggör kraven för NIS2 Artikel 21.2 a-j, dvs de krav som ställas på entiteter vad gäller riskhanteringsåtgärder för att skydda mot och hantera incidenter som kan påverka entitetens förmågor.

En tydlighet finns även att dokumentation kring beslut är av vikt, det tydliggörs att de områden där entiteter har möjligheter att bedöma om åtgärder skall sättas in kan hanteras genom riskanalys och beslut att åtgärd inte skall genomföras. Här ställs det dock tydliga krav på att detta skall dokumenteras, det tydliggörs genom följande ”ska den berörda entiteten på ett begripligt sätt dokumentera sina skäl”.

Detta ökar kraven på att ordentlig styrning i arbetet med informations- och cybersäkerhet finns på plats, detta för att säkra att samtliga områden efterlevs, att dokumentation finns som är tydlig samt att kontinuitet finns i arbetet.

Bilagan är indelad i 13 huvudområden, varvid varje område har flertalet förtydligande krav, de områden som bilagan omfattar är:

1. Strategi för säkerhet i nätverks- och informationssystem (artikel 21.2 a i direktiv (EU) 2022/2555)
2. Strategi för riskhantering (artikel 21.2 a i direktiv (EU) 2022/2555)
3. Incidenthantering (artikel 21.2 b i direktiv (EU) 2022/2555)
4. Driftskontinuitet och krishantering (artikel 21.2 c i direktiv (EU) 2022/2555)
5. Säkerhet i leveranskedjan (artikel 21.2 d i direktiv (EU) 2022/2555)
6. Säkerhet vid förvärv, utveckling och underhåll av nätverks- och informationssystem (artikel 21.2 e i direktiv (EU) 2022/2555)
7. Strategier och förfaranden för att bedöma effektiviteten i riskhanteringsåtgärder för cybersäkerhet (artikel 21.2 f i direktiv (EU) 2022/2555)
8. Grundläggande praxis för cyberhygien och utbildning i cybersäkerhet (artikel 21.2 g i direktiv (EU) 2022/2555)
9. Kryptografi (artikel 21.2 h i direktiv (EU) 2022/2555)
10. Personalsäkerhet (artikel 21.2 i i direktiv (EU) 2022/2555)
11. Åtkomstkontroll (artikel 21.2 i och j i direktiv (EU) 2022/2555)
12. Tillgångsförvaltning (artikel 21.2 i i direktiv (EU) 2022/2555)
13. Miljömässig och fysisk säkerhet (artikel 21.2 c, e och i i direktiv (EU) 2022/2555)
    
    

Vägledning

ENISA har tagit fram ett utkast för vägledning baserat på kraven som ställs i bilagan, vägledningen innehåller både konkreta tips på vad som bör implementeras men även tips på hur granskning kan utföras för att följa upp att det är implementerat.

Vägledningen finns tillgänglig på https://www.enisa.europa.eu/publications/implementation-guidance-on-nis-2-security-measures och omfattar ca 150 sidor. Arbete har även genomförts för att peka ut mappning mot relevanta standarder och ramverk, så som ex ISO 27001:2022 och NIST CSF.

Vad bör du göra?

Ni som organisation som träffas av denna genomförandeförordning behöver läsa igenom den och identifiera de exakta krav som träffar er verksamhet, har ni ett Ledningssystem för Informationssäkerhet (LIS/ISMS) på plats behöver ni mappa kraven mot denna. Arbetet kan leda till att ni identifierar gap som behöver åtgärdas där ni behöver komplettera Ert LIS/ISMS. 

Har ni ännu inte LIS/ISMS eller motsvarande på plats är rekommendationen att ni påbörjar etableringen av detta, där kraven i genomförandeförordningen bör vara en av ingångsvärdena i detta arbete.

Cegal och NIS2  

Cegal´s konsulter inom informations- och cybersäkerhet kan stötta Er i arbetet med att etablera LIS, antingen genom att ta ett helhetsansvar och driva arbetet med Er, eller som stöd i specifika delar av etableringen av LIS.   
 
Cegal´s hälsocheck av redan etablerat LIS ger Er en extern bild av hur ert LIS mår, där kontroll görs av både LIS samt även organisationens efterlevnad för utvalda delar av LIS.