NIS2 står för Network and Information Security Directive 2 och är ett viktigt steg i utvecklingen av lagstiftning som kan öka cybersäkerheten och skydda organisationers kritiska infrastruktur och känsliga data.
Medan NIS1 enbart fokuserade på kritiska sektorer såsom energi, transport och telekommunikation, har NIS2 ett betydligt bredare omfång. Det riktar sig inte bara till operatörer av samhällsviktiga tjänster. Nu görs en distinktion mellan "väsentliga" och "viktiga" enheter (baserat på storlek och aktivitetskriterier) och det omfattar även deras digitala tjänsteleverantörer, deras kritiska leverantörskedja samt offentliga förvaltningar.
Avgörande betydelse för fysisk säkerhet
EU:s oro över cybersäkerhet är välgrundad och det är viktigt att förstå att stationära och bärbara datorer samt servrar inte är de enda enheter som är sårbara för cyberhot. En uppkopplad fysisk säkerhetsenhet kan utgöra en nog så allvarlig sårbarhet. Alla tekniska komponenter (exempelvis smarta kameror, elektroniska lås, sensorer av olika slag) som dina leverantörer av fysiska säkerhetslösningar installerar och integrerar kan bidra till att göra ditt fysiska säkerhetssystem alltmer sårbart för cyberattacker om de inte säkras ordentligt.
Checklista för din organisation
Genetec har utvecklat denna checklista för att hjälpa dig att bedöma statusen för din organisation.
Vanliga cybersäkerhetsrisker kopplade till fysisk säkerhet inkluderar:
• Man-in-the-middle-attacker: Angripare får tillgång till ett nätverk och samlar in information som utbyts mellan enheter, såsom dörrkoder eller inloggningsuppgifter.
• Skimming- och reläattacker: Brottslingar klonar information på ett offers kort och får tillträde.
• Kontrollerattacker: Angripare skriver över kontrollerens firmware, vilket gör enheten obrukbar.
Med sådana hot i åtanke är det inte förvånande att nyckelelement i NIS2-direktivet hanterar dessa frågor. Efterlevnad av NIS2 garanterar aktörer i kritiska sektorer att de fysiska säkerhetslösningar de använder inte äventyrar deras cybersäkerhet.
Vad innebär detta i praktiken?
I praktiken kommer NIS2 att kräva att berörda aktörer, särskilt de som arbetar med säkerheten, inför robusta cybersäkerhetsåtgärder för att skydda sina digitala system och nätverk enligt följande krav:
• Identifiering av kritiska digitala tillgångar.
Organisationer måste upprätta en lista över sina kritiska digitala tillgångar, det vill säga de digitala element och resurser som är avgörande för deras verksamhet, inklusive utrustning, programvara och känsliga data.
• Hantering av cyberrisker.
Organisationer måste regelbundet genomföra riskbedömningar för att identifiera potentiella cyberhot och sårbarheter samt definiera strategier för att minska dessa risker.
• Implementering av lämpliga cybersäkerhetsåtgärder.
Organisationer måste införa tekniska säkerhetsåtgärder (brandväggar, antivirus, intrångsdetektion, etc.) och implementera strikta cybersäkerhetspolicyer.
• Rapportering av incidenter.
Vid en cybersäkerhetsincident måste berörda parter snabbt och korrekt rapportera händelser som kan påverka deras verksamhet eller informationssäkerhet.
• Samarbete med de behöriga myndigheterna.
Organisationer måste samarbeta med nationella cybersäkerhetsmyndigheter och bidra till hanteringen av cyberkriser.
• Personalutbildning.
Anställda måste göras medvetna om cybersäkerhetsfrågor och utbildas för att använda ny teknik på ett säkert sätt.
• Efterlevnad och bevis.
Aktörer måste säkerställa att deras verksamhet följer NIS2-kraven och att de kan bevisa sin efterlevnad.
Säkerhetsmodell med flera lager
Med rätt lösningar kan en stor del av bördan av NIS2-direktivet lyftas från ditt team. En säkerhetsmodell med flera lager kan hjälpa dig att minska dina risker och följa direktivet. Snabba ändringar i organisationens fysiska säkerhet kan stärka din beredskap inför NIS2.
Ladda ner vårt NIS2-whitepaper för att identifiera snabba lösningar och förbättra din cybersäkerhet inom grundläggande områden.