SecurityWorldMarket

19-12-2023

NIS2: "Sikring af identiteter og adgang skal begynde nu"

Daniel Hjort, marketingdirektør hos IN Groupe og Nexus.

NIS2-direktivet skal implementeres i alle EU-landes nationale lovgivning fra oktober 2024. Formålet med direktivet er at cybersikre tekniske systemer forbundet med kritisk infrastruktur. En vigtig del er at sikre identiteter og administrere rettigheder, hvor folk opholder sig i relevante miljøer og at starte arbejdet så hurtigt som muligt. Det siger Daniel Hjort, marketingdirektør hos den svenske ID-styringsspecialist Nexus, ejet af franske IN Groupe, i denne artikel.

Det reviderede europæiske net- og informationssikkerhedsdirektiv, kendt som NIS2, er et vigtigt skridt i retning af at forbedre cybersikkerheden for udbydere af kritisk infrastruktur og digitale tjenester. Cybersikkerhedstrusler udvikler sig hurtigt, og overholdelse af NIS2-direktivet er ved at blive en hjørnesten for at styrke cyberforsvaret i EU og dets medlemsstater.

MFA – et grundlæggende krav

For at opfylde kravene i NIS2 kræves det, at de pågældende virksomheder investerer i cybersikkerhed, krisestyring og netværks- og applikationssikkerhed. Indførelsen af sikre digitale identiteter for medarbejderne inden for driften er en vigtig del af det arbejde og er godt i tråd med NIS2-kravene. Indførelse af multi-factor authentication (MFA) opfylder et grundlæggende krav i direktivet og er et middel til at udføre sikre identitets- og adgangskontroller.

To nye krav i det nye NIS

Manglende overholdelse kan føre til bøder på op til 10 millioner euro - eller 2 procent af virksomhedens årlige omsætning, og seniorledere kan potentielt blive holdt personligt ansvarlige. Det vil være obligatorisk at overholde NIS2, men på trods af dette er mange organisationer stadig uvidende om det nye direktiv. Der er to væsentlige ændringer i NIS2 sammenlignet med dens forgænger NIS1:

• Udvidet scope: Omfanget udvides betydeligt, og væsentligt flere organisationer bliver berørt. Som eksempel på udvidelsen kan man se på Tyskland, hvor antallet af berørte virksomheder forventes at stige fra 1.800 til 29.000. Udvidelsen omfatter mindre virksomheder og sektorer som energi, transport, bankvæsen, infrastruktur til finansielle markeder, sundhedsvæsen, drikkevandsforsyning, spildevand, digital infrastruktur og offentlige serviceydelser. Nogle sektorer, der allerede var berørt af NIS1, ser også, at det nye direktiv dækker flere aspekter, ikke mindst inden for sektorerne sundhedspleje og digital infrastruktur.

• Minimumskrav til cybersikkerhed: NIS2 introducerer nye cybersikkerhedskrav, der giver klar vejledning om de foranstaltninger, som berørte virksomheder i hele EU skal tage for at håndtere risici effektivt. Direktivet understreger, at alle virksomheder skal "tage passende og forholdsmæssige tekniske, operationelle og organisatoriske foranstaltninger for at håndtere (deres cybersikkerheds) risici". Desuden understreger NIS2 eksplicit, at "vigtige organisationer bør vedtage en bred vifte af grundlæggende cyberhygiejnepraksis, såsom nul tillid principper for identitet og adgangsstyring".

Manglende overholdelse udgør store risici

Konsekvenserne af manglende overholdelse er ikke kun bøder, men kan potentielt føre til databrud, økonomiske tab og have en væsentlig skadelig effekt på organisationens omdømme. De seneste år har vist, at cyberangreb kan have vidtrækkende effekter på virksomheder og samfund. Endvidere sikrer NIS2 en ensartet og harmoniseret tilgang til cybersikkerhed i hele EU. Det handler om at opfylde lovkrav og samtidig bidrage til et sikrere og mere sikkert digitalt økosystem.

Arbejdet skal starte nu

Tidslinjen for at opnå NIS2 compliance er af stor betydning. Som organisation skal man investere både tid, ressourcer og ekspertise i den proces. Datoen for at omsætte NIS2 til den nationale lovgivning i de 27 EU-medlemsstater er fastsat til den 17. oktober 2024. Denne dato udgør dog ikke den endelige frist for berørte virksomheder til at opnå overholdelse. Men baseret på erfaringer fra tidligere EU-forordninger og EU-direktiver forventes virksomhederne at opfylde NIS2-kravene i 2025. Afhængig af virksomhedens status - og hvis man fx allerede opfylder NIS, skønnes det at tage mellem 9 og 15 måneder for en organisation at opnå fuld NIS2-compliance. På den baggrund er det vigtigt at starte arbejdet allerede nu med at lave en gap-analyse samt budgettere og afsætte ressourcer til introduktionen i 2024.

Certifikatbaserede identiteter

NIS2 kræver sikre identiteter for at muliggøre sikkerhed over hele linjen og forhindre cyberangreb på personalet og den moderne arbejdsplads med dens skiftende arbejdsdynamik. En public key infrastructure (PKI) kan bruges til at udstede certifikatbaserede identiteter. Sikre identiteter holder personale og infrastruktur sikre, samtidig med at de muliggør en stærk autentificering, som opfylder kravene til identitets- og adgangsstyring i NIS2.


Nyheder fra forsiden
Til "Virksomheder"  

Leverandører
Ændre marked
Global North America Middle East United Kingdom Sweden Norway Denmark
Tilbage til toppen