Från och med 17 oktober träder EUNIS2-direktiv (Network and Information Security 2) i kraft, vilket syftar till att stärka cybersäkerheten inom EU genom nya skyldigheter för företag och organisationer i samhällsviktiga sektorer.
Direktivet, som följer på det tidigare NIS, innebär att organisationer nu måste öka sina investeringar i cybersäkerhet och implementera omfattande riskhanteringsåtgärder. Dessutom lanseras det särskilda DORA-direktivet för finanssektorn i januari 2025.
Carl Leonard, cybersäkerhetsstrateg på Proofpoint i EMEA, svarar på vanliga frågor kring NIS2 och DORA för att hjälpa företag att förbereda sig inför implementeringen.
Vilka är de viktigaste bestämmelserna och åtgärderna i NIS2 för att säkerställa att företag ökar sina investeringar inom cybersäkerhet?
NIS2 höjer ribban för vad som anses vara acceptabelt skydd för medborgare, driftssäkerhet och motståndskraft. Organisationer måste därför stärka sitt cybersäkerhetsarbete. Förberedelserna inför NIS2 handlar inte om att komma undan med minsta möjliga insats, utan snarare om att ligga steget före och använda detta som en konkurrensfördel.
Stora böter, möjlig verksamhetsavstängning och övervakning av efterlevnad används som incitament för att uppmuntra organisationer med samhällsviktiga tjänster att ta cybersäkerhetshot på allvar. Direktivet fastställer en baslinje för riskhantering och riskreducerande åtgärder, inklusive incidenthantering, personalutbildning, ledarskapsansvar och mycket mer. I gengäld kan organisationer förvänta sig bättre stöd genom samordnade insatser på EU-nivå. Detta inkluderar delning av hotinformation, en högre gemensam nivå av cybersäkerhet och en "vi är i detta tillsammans"-mentalitet. Detta är goda nyheter för organisationer som vill fortsätta vara effektiva i dagens utmanande hotbild och för medborgare som drar nytta av deras tjänster.
Vilka konkreta steg behöver företag vidta internt för att följa bestämmelserna?
Först och främst bör företag kontrollera om deras sektor, delsektor och storlek innebär att de omfattas av NIS2 och registrera sig. Artiklarna 21 och 23 i NIS2 är där de flesta organisationer kommer att spendera mest tid på att gå igenom listan över riskhanteringsåtgärder och rapporteringsskyldigheter. Otydligheten kring den praktiska tillämpningen av varje åtgärd är anmärkningsvärt frånvarande. Organisationer måste lägga pussel med riskhanteringsåtgärder, och om en pusselbit saknas kan efterlevnaden ifrågasättas och säkerheten försvagas. Från incidenthantering till personalutbildning, från leverantörssäkerhet till multifaktorautentisering – var säker på att NIS2 definierar listan som en lista över de lägsta nivå för åtgärderna och organisationer bör sträva efter att påbörja en cybersäkerhetsresa med kontinuerlig förbättring för att ligga steget före kriminella eller fientligt sinnade aktörer och vara beredda att reagera på nuvarande och framtida hot.
EU DORA gäller specifikt banker och deras tredjepartsleverantörer av teknik. Vilka företag kommer att omfattas av NIS2? Och hur skiljer det sig från DORA?
Fler organisationer kommer att omfattas av NIS2 jämfört med NIS. Förutom energi, transport, hälsa och så vidare inkluderar NIS2 nu digital infrastruktur, ICT-tjänstehantering, offentlig förvaltning och olika undersektorer inom kemikalier, avfallshantering, livsmedel samt forskning. DORA fokuserar på finanssektorn och de it-företag som bistår dem. Det är intressant att notera att NIS2 förklarar att DORA ska tillämpas först för finanssektorn, och eventuella luckor fylls sedan av NIS2. Att navigera i ett lapptäcke av förordningar är inget nytt för många företag, men berörda organisationer måste tänka igenom hur de ska följa dem för att leverera en önskvärd baslinje för cybersäkerhet, eller ännu hellre överträffa den.
Hur kommer NIS2 att påverka dessa företag konkret? Vilka processer och utgiftsbeslut kommer de att fatta internt för att säkerställa efterlevnad av EU:s NIS2-direktiv?
Det kan vara svårt att i dagsläget avgöra om en organisation har gjort tillräckligt för att följa de förväntade åtgärderna. Berörda organisationer kommer att söka tydligare vägledning om vad som utgör acceptabel incidenthantering, till exempel för att visa revisorer, och därmed myndigheter, vilka "lämpliga och proportionerliga tekniska, operativa och organisatoriska åtgärder" de har implementerat. Förhoppningsvis kommer klarhet att komma senast i slutet av oktober 2024 och prejudikat kommer säkerligen att sättas om och när företag ställs till svars. Men andan och betoningen i direktivet är tydlig: organisationer bör arbeta för att förstå sina nuvarande förmågor och brister och utforska vad som kan göras för att förbättra sin cybermotståndskraft och säkerhetsställning för att hantera risker, fortsätta verksamheten och minimera effekterna av incidenter för mottagare av deras tjänster.
Vilka påföljder och straffåtgärder kan EU använda enligt NIS2?
Det som har fångat uppmärksamheten hos många ledare är att myndigheterna kommer att ha befogenhet att tillfälligt förbjuda en organisation från att tillhandahålla en tjänst, hindra en VD från att leda företaget och hålla dem ansvariga för brott mot deras skyldighet att säkerställa efterlevnad av NIS2. Myndigheter kan beordra organisationer att stoppa dålig praxis, offentliggöra sina misstag och vidta korrigerande åtgärder. Böter enligt NIS2 är utformade för att avskräcka från dålig cybersäkerhetspraxis och för att uppmuntra fokus på att upprätthålla verksamheten – hotet om upp till tio miljoner euro eller två procent av den globala omsättningen är piskan för företag inom samhällsviktiga sektorer.
Hur stor inverkan har detta på företag jämfört med lagar som GDPR eller mer nyligen DMA och DSA?
Att hantera tid och pengar ligger alla företag varmt om hjärtat. Enligt NIS2 kommer organisationer att ha bara 24 timmar på sig att lämna in en tidig varning till myndigheterna, medan GDPR kräver anmälan inom 72 timmar. För de allvarligaste överträdelserna är dock böterna enligt GDPR dubbelt så höga som enligt NIS2. Det vi kan sluta oss av denna uppställning är att brott mot personuppgifter är den allvarligaste och mest betydelsefulla typen.