Under de senaste veckorna har vi fått en hel del frågor om NIS2 och hur man bör ta hänsyn till det – särskilt inom vårt område med passerkontroll och kortläsare.

De vanligaste frågorna har varit:

• Påverkar NIS2 verkligen fysisk passerkontroll överhuvudtaget?

• Är inte NIS2 främst inriktat på digitala system och data?

Tvåfaktorsautentisering

Det europeiska NIS2-direktivet handlar om cybersäkerhet och skydd av kritiska verksamheter och infrastrukturer. Och ja, dess huvudsakliga fokus är digital säkerhet. Men jag anser att det i vissa fall även berör fysisk passerkontroll. Exempelvis blir knappsatsläsare som möjliggör tvåfaktorsautentisering – vilket är ett NIS2-krav för kritiska verksamheter – mycket användbara.

NIS2 nämner inte uttryckligen fysiska passerkontrolläsare, men kräver multifaktorautentisering (MFA) som en del av riskbaserad tillträdeskontroll för både informationssystem och deras fysiska miljöer, där det är lämpligt.

Så kan fysisk passerkontroll omfattas av NIS2

Jag anser därför att fysisk passerkontroll omfattas av NIS2 när vissa förutsättningar är uppfyllda, till exempel:

• när passerkontrollsystem är en del av skyddet för kritiska tjänster eller verksamheter

• när de stödjer skyddet av informationssystem eller känsliga miljöer

• när ett fel eller avbrott i systemen kan få verklig påverkan på säkerhet, kontinuitet eller riskhantering

Regleras inte av NIS2 – men kan ändå vara relevant

I praktiken utgör den fysiska infrastrukturen kring exempelvis servrar, informationssystem och andra kritiska system – samt tillträdet till dessa anläggningar – en del av de riskhanteringskrav som omfattas av NIS2.

Med andra ord reglerar NIS2 inte passerkontroll som standard, men i specifika sammanhang kan det bli relevant.

Anu-Leena Arola, försäljningsdirektör, Idesco