Cybersäkerhet

NIS 2-Direktivet 2022/2555

NIS2-direktivet är en viktig del av EU:s strategi för att stärka cybersäkerheten och skydda samhället mot de ökande hoten i den digitala världen.

Genom att harmonisera kraven, fokusera på samhällsviktiga tjänster och ta hänsyn till leveranskedjor, syftar NIS2 till att skapa en säkrare digital miljö för alla.

Här är några viktiga punkter som NIS2 adresserar:

• Bredare tillämpningsområde: Fler sektorer och organisationer omfattas av de nya reglerna jämfört med det tidigare NIS-direktivet.
• Striktare krav på riskhantering: Organisationer måste implementera robusta riskhanteringsåtgärder och rapportera incidenter.
• Ökat fokus på leveranskedjesäkerhet: Organisationer måste hantera cybersäkerhetsrisker även hos sina leverantörer.
• Strängare tillsyn och sanktioner: Medlemsstaterna ska säkerställa effektiv tillsyn och införa avskräckande sanktioner vid bristande efterlevnad.

Nulägesanalys

-Hur bedriver ni ert säkerhetsarbete idag?

We can assist you in increasing productivity, reducing costs, and building new partnerships.

• Utvärdera befintliga säkerhetsåtgärder: Granska befintliga policyer, processer och tekniska lösningar för informationssäkerhet. Identifiera styrkor och svagheter.
  
• Arbetar ni utifrån ITIL 4, IT4IT bedriver systematiskt hållbarhetsarbete ESG/CSRD/ESRS ? Utgå ifrån där ni är.

Riskanalys & Riskvärdering

Dax att genomför en grundlig riskbedömning för att identifiera potentiella hot och sårbarheter som kan påverka verksamheten. Detta bör även inkludera en analys av beroenden av leverantörer, kunder och andra externa parter.

Riskhantering: Har ni robusta riskhanteringsåtgärder för att identifiera, bedöma och hantera cyberrisker?

Detta inkluderar bl.a. att ha processer för incidenthantering, kontinuitetsplanering och krishantering.

-Är er verksamhet redo?

-Hur berörs ni av NIS 2-direktivet?

Identifiera om er verksamheten omfattas:

Det första steget är att avgöra om verksamheten omfattas av NIS2. Direktivet gäller för ett brett spektrum av sektorer, inklusive energi, transport, hälso- och sjukvård, digital infrastruktur, offentlig förvaltning och vissa tillverkningsindustrier.

Det är viktigt att noggrant granska bilaga 1 och 2 i direktivet för att fastställa om verksamheten faller inom dess tillämpningsområde. Faller er verksamhet inte direkt in inom  "Högkritiska sektorer" eller "Andra kritiska sektorer" så kanske ni ändå ingår i deras värdekedja och indirekt kommer omfattas. Grundprincipen är att deras leverantörer i sin tur måste uppfylla proportionerliga säkerhetskrav och bedriva ett systematiskt säkerhetsarbete.

GAP-analys

-Vad saknas för att uppfylla kraven på er verksamhet?

Identifiering av åtgärder som krävs för att er verksamhet ska uppfylla NIS2-/ kundkraven.

• "Har ni upplevt svårigheter med att få en helhetsbild av er nuvarande cybersäkerhetsnivå?"
• "Hur ser ni på risken att missa viktiga aspekter i en GAP-analys om nuläget inte är tydligt definierat?"
• Hur kan ni använda befintlig dokumentation, processer och andra dokument för att enklare uppfylla kraven?

Riskhanteringsåtgärder

Nu har vi koll på legala och affärsmässiga krav på er verksamhet utifrån ett cyber säkerhetsperspektiv.

-Hög tid att komplettera med de nödvändiga tekniska säkerhetsåtgärder som saknas. Utbilda personalen, anpassa systemstöd och uppdatera interna processerna och rutinerna så de är tillräckligt bra för att uppfylla de krav som ställs på er utifrån informationssäkerhet.