SecurityWorldMarket

16.06.2025

ID-administrasjon og Adgangskontroll – Del 8 av 14

Seriline om NIS2 og CRA: «Kommer til å rydde bort mindre aktører»

Freddie Parrman og Christian Lund.

Freddie Parrman og Christian Lund.

Forskrifter og direktiver fra EU som NIS2 og CRA (Cyber Resilience Act) vil stille høyere krav til cybersikkerhet for organisasjoner og bedrifter og kreve nye arbeidsmetoder.
– Disse regelverkene er bare begynnelsen. Det kommer til å eskalere og rydde bort en hel del av de mindre aktørene, sier Serilines administrerende direktør Freddie Parrman.

Dette er en artikkel i en serie om temaet ID-administrasjon og Adgangskontroll. Nederst finner du lenker til andre artikler om samme tema.

Den svenske lovgivningen som implementerer NIS2 forventes å tre i kraft tidligst sommeren 2025, og Cyber Resilience Act (CRA) trådte i kraft 10. desember 2024. Kravene til produkter begynner å gjelde fra 11. desember 2027.

Hensikten med NIS2-direktivet er å heve EU sin felles cybersikkerhetsnivå og samfunnskritiske virksomheters motstandsdyktighet. Sammenlignet med det første NIS-direktivet stiller NIS2 tydeligere krav til blant annet risikovurderinger og ulike sikkerhetstiltak.

Flere virksomheter omfattes av NIS2

Betydelig flere selskaper omfattes av NIS2, særlig de som klassifiseres som «vesentlige» eller «viktige» enheter innen samfunnskritisk virksomhet.

– NIS var ganske nisjepreget fra starten, NIS2 er betydelig bredere, og sikkerhetsbransjen som sådan blir sterkt berørt av dette, sier Freddie Parrman.

Han beskriver NIS2 som en «game changer» som flytter sikkerhetsspørsmål fra å være et teknisk ansvar til å bli en ledelsesoppgave – ikke minst fordi det kan få alvorlige konsekvenser både for organisasjoner og enkeltpersoner å bryte reglene.

– Sammenlignet med GDPR innfører NIS2 strengere sanksjoner, i verste fall kan personer med lederansvar forbys å utøve sin lederfunksjon, det har ikke vært tilfelle tidligere, sier Christian Lund, CIO i Seriline.

– Nå er det administrerende direktør og styret som må ta ansvar. Dette kan ikke delegeres nedover, konstaterer Freddie Parrman.

Må holde produkter oppdatert

Mens NIS2 retter seg mot organisasjoner innen samfunnskritisk virksomhet, fokuserer CRA på cybersikkerheten i produkter med digitale elementer, som maskinvare og programvare. CRA innfører påbudte cybersikkerhetskrav som gjelder gjennom hele produktets livssyklus.

Produsenter, importører og distributører er ansvarlige for å sikre at produkter er trygge allerede fra designfasen, har innebygd beskyttelse mot cybertrusler og tilgjengelige sikkerhetsoppdateringer. For visse kritiske produkter kreves det i tillegg en uavhengig tredjepartssertifisering før de kan selges innen EU.

Seriline beskriver CRA som en cybersikkerhetsmerking tilsvarende CE-merkingen, der alle omfattede produkter må oppfylle fastsatte sikkerhetskrav for å kunne selges i EU.

– Dette er definitivt et skille. Vi vet jo hva ISO 27001 (sikkerhetsstandard for informasjonssikkerhet) koster. Det er store investeringer og en helt ny arbeidsmåte. CRA vil stille svært høye krav til produsenter – terskelen heves, og de bedriftene som ikke har en viss størrelse vil få det tøft, sier Freddie Parrman.

Seriline satser store ressurser på å hjelpe sine kunder med å forstå og følge både NIS2 og CRA. Freddie Parrman mener selskapet vil satse like mye på CRA:

– Ja, definitivt. Den er jo minst like viktig som NIS2. Vi har et stort ansvar for å utdanne markedet og våre kunder, sier han.

ISO 27001 viktig

Som leverandør av ID-håndteringsløsninger merker Seriline de økende cybersikkerhetskravene i NIS2 og CRA.

– Særlig i våre anbud ser vi økt etterspørsel etter sikkerhetsløsninger, og det er en del av vårt daglige arbeid. Plattformen vår, Serix IAM, fungerer som et overordnet system over kundenes adgangs- og alarmsystemer. Vi har flere store kunder innen kritisk infrastruktur, og de er ofte de første som stiller viktige spørsmål som: «Hvordan sikrer dere at dette fungerer?», «Er det sikkert?» og «Er det bygget riktig?», sier Christian Lund.

Freddie Parrman supplerer:

– Serix IAM er en IT-plattform og ikke et sikkerhetssystem. Samtlige prosesser omfattes av ISO 27001 og vi gjør oss «compliant» med CRA og NIS2.

Rapporteringsplikt

Seriline jobber aktivt med ISO 27001, en globalt anerkjent standard for informasjonssikkerhet.

– Det handler om å jobbe systematisk, strukturert og risikobasert. Mange av kravene i NIS2-direktivet til risikohåndtering, policyer og tekniske tiltak er i tråd med ISO 27001, men standarden dekker ikke alt. For eksempel krever NIS2 at organisasjoner gjennomfører penetrasjonstester og har etablerte beredskapsplaner, noe som ikke alltid er spesifisert i ISO 27001, sier Christian Lund.

Han påpeker at et av de store kravene i de nye regelverkene er å sikre at kun autoriserte brukere får tilgang til kritiske systemer.

– Med vår plattform kan vi løse dette. Mange store selskaper har ikke bare ett adgangssystem, men flere – ofte fra ulike leverandører og med forskjellig teknologi. Hvordan sikrer man da at en bruker bare finnes i riktige systemer? Eller at en ansatt som slutter, slettes fra alle systemene i tide? Det er her vår plattform spiller en avgjørende rolle gjennom å sentralisere og automatisere håndteringen, sier Christian Lund.

Usynlige identiteter – en sikkerhetsrisiko

– Hvis jeg skal stikke hodet litt frem: når vi kommer inn, har kunden ofte flere forskjellige systemer, og i gjennomsnitt kan organisasjoner ikke identifisere 10–15 prosent av identitetene når vi samkjører dataen. Det kan for eksempel være personer som har sluttet. Dette er vår største styrke – vi hjelper kundene våre med å rydde databaser og fjerne brukerkontoer samt tilgangene til disse personene, sier Freddie Parrman.

Bekymring for Europa

De siste årenes sikkerhetspolitiske utvikling, Sveriges NATO-inntreden og etterfølgende beslutninger har påvirket mange virksomheter. Sikkerhetskravene har økt, og med NIS2 må mange skjerpe sin informasjonssikkerhet. Dette påvirker Serilines salg positivt.

– Det er mange som omfattes av sikkerhetsbeskyttelsesloven og må se over dette. I tillegg er det etterlevelseskravene som driver mye. Dora-forordningen er som NIS2 eller CRA for finansbransjen. Disse regelverkene er bare begynnelsen, dette kommer til å eskalere. Europa regulerer svært strengt, mens USA går i motsatt retning og liberaliserer sine «regulations». Så konkurranseevnen Europa vs USA er en bekymring jeg har, sier Freddie Parrman.

Cybersikkerhet – en ledelsessak

I dag har mange av organisasjonene som berøres av NIS2 økt bevissthet om direktivet, men CRA – hvis bindende krav trer i kraft i desember 2027 – er fortsatt relativt ukjent blant sluttkundene i sikkerhetsbransjen.

– Mange skyver det foran seg, ikke fordi de ikke ser det som viktig, men fordi det ligger noen år frem i tid. Fokuset ligger ofte på akutte spørsmål her og nå, og man avventer med å forberede seg på regulatoriske krav som ennå ikke er fullt implementert. Vår rolle er å løfte disse spørsmålene tidlig, slik at kundene våre er i forkant og kan handle proaktivt, sier Christian Lund.

Seriline jobber aktivt med å støtte kundene i deres etterlevelse av både NIS2 og CRA. En nøkkel i dette arbeidet er Serix IAM, en plattform som integrerer og sikrer at riktige brukere har riktig tilgang i ulike systemer.

– Serix IAM kommer til å være en sentral løsning for våre kunder i arbeidet med NIS2 og CRA. Plattformen gjør det mulig å håndtere tilganger på en sikker og automatisert måte, særlig i organisasjoner hvor det finnes flere adgangssystemer, ulike teknologier og komplekse IT-miljøer. Ved å matche data fra ulike kildesystemer, som HR-plattformer og Active Directory, kan vi identifisere uautoriserte brukere, rydde inaktive kontoer og sørge for at kun rette personer har tilgang til kritiske systemer, avslutter Christian Lund

Note: This editorial article has primarily been produced for the security trade magazine Detektor in collaboration with Securityworldmarket.com.


Nyheter fra hjemmesiden
Til "Tema"  

Leverandører
Endre marked
Global North America Middle East United Kingdom Sweden Norway Denmark
Tilbake til toppen