SKYDD: NIS-lag 2025 – vilka krav ställs på ID- och passerkontroll?

Att NIS efterlevnad kommer att skärpas via svensk lagstiftning 2025 för tankarna till GDPR som blev svensk lag 2018. Skillnaden är dock att NIS är ett EU-direktiv med syftet att öka Europas motståndskraft mot cyberattacker genom att skydda IT-system och infrastruktur. Syftet med GDPR är att skydda personuppgifter.

Blir lag i Sverige 2025

Det är EU-ländernas gemensamma cybersäkerhetsorgan Enisa som har lanserat NIS-direktivet som ställer krav på säkerhet i nätverk och informationssystem. NIS-regelverket omfattar alla företag som levererar samhällsviktiga tjänster och vissa digitala tjänster. Från och med 2025 kommer NIS-direktivet att gälla som lag i Sverige och i övriga EU.

Varför behövs då en paneldiskussion med rubriceringen ”Är aktörerna inom ID-hantering och passerkontroll redo för NIS-direktivet som blir lag 2025 ?”

– Vi lever i en uppkopplad värld där möjligheterna synes oändliga, men i takt med att IoT-samhället breder ut sig ökar också sårbarheterna, inte minst för kritisk infrastruktur, vilket är särskilt allvarligt, säger Lennart Alexandrie, publisher på AR media International, som är programansvarig en serie paneldiskussioner och presentationer kring säkerhetsteknikens möjligheter och utmaningar som sker på scen 1.

– I fackmedierna Detektor och Securityworldmarket har Stids försäljningschef Robert Jansson drivit på för en diskussion bland leverantörer av system för ID-hantering och passerkontroll om just de krav som berör just deras verksamhet och därför tyckte vi att en sådan diskussion passade bra på den öppna scenen i utställningshallen på Skydd, menar han vidare.

Hotscenario – biometriska data på drift

Att NIS-direktivet behövs och att GDPR inte är tillräckligt hävdar Robert Jansson, försäljningschef på franska Stid i Norden, som i det senaste numret av Detektor ger han exempel på ett hotscenario med utgångspunkt av en fiktivt leverantör av biometriska lösningar för passerkontroll.

– Den biometriska signaturen lagras i en hårdvara, system eller i molnet. Leverantören hävdar att lösningen är säker och godkänd då den är krypterad och ingen kan läsa informationen som lagras i ett EU-land. Dessutom är tillverkaren eller lösningens leverantör ett känt företag med hemhörighet i ett EU-land. Det kan låta tryggt, men det är det inte, säger han.

– Det viktiga är ju vem som har tillgång till nyckeln. Om lösningen säljs till ett företag i ett som är tämligen ointresserat av den europeiska GDPR-lagstiftningen så har de tillgång till användarnas biometriska värden, det vill säga identiteten. I värsta fall kan personers biometriska data komma att köpas av högstbjudande och användas på ett sätt som inte är förenligt med europeiska lagstiftningar och etiska riktlinjer.

Erfarenhet av NIS-implementering

På scen 1 kl 13.15 den 26 oktober kommer NIS-direktivet och hur man som slutkund arbetar med det i största allmänhet tas upp av Peter Lillius, konsult på Kronan Säkerhet. Under sin tid som säkerhetschef på Apoteket, fick Peter han erfarenhet av just arbetet med NIS-anpassningar. På scenen finns – utöver Robert Jansson och Peter Lillius – Fredrik Martinsson, som är CTO på IAM-företaget Seriline samt Lars Kornbek, CEO, Vitani som arbetar med lösningar för såväl säkerhet som byggnadsautomation samt är kända för sin moderna lösningar för passerkontroll.

Många frågor

Tillsammans med moderatorn Markus Lahtinen ska de fyra paneldeltagarna diskutera frågor som rör säkerhetsleverantörerna beredskap inför NIS. Hur ”NIS-kompatibla” är lösningarna som levereras idag? Vad kan tillverkare och integratörer göra för att medverka till att lösningar för ID-hantering och passerkontroll uppfyller kraven? Hur ska kunderna veta att den levererade lösningen lever upp till kraven? Och hur är kompetensen hos konsulterna som ska lotsa dem rätt?