Då EU-direktivet NIS2 implementeras i lagstiftningen i samtliga EU-länder måste många organisationer i Skandinavien säkerställa att deras tekniska system, kopplade till kritisk infrastruktur, uppfyller de betydligt högre cybersäkerhetskrav som NIS2 ställer. Även fysiska säkerhetssystem omfattas. Genetec har därför tagit fram en checklista som kan hjälpa organisationer att få en överblick över vad som behöver göras.
NIS2 står för Network and Information Security Directive 2 och är ett viktigt steg i utvecklingen av lagstiftning som kan öka cybersäkerheten och skydda organisationers kritiska infrastruktur och känsliga data.
Medan NIS1 enbart fokuserade på kritiska sektorer såsom energi, transport och telekommunikation, har NIS2 ett betydligt bredare omfång.
– Det nya direktivet riktar sig inte bara till operatörer av samhällsviktiga tjänster. Nu görs en distinktion mellan ”väsentliga” storlek och aktivitetskriterier) och det omfattar även deras digitala tjänsteleverantörer, deras kritiska leverantörskedja samt offentliga förvaltningar, säger Andreas Silvede, som är Account Executive för Nordics – Baltics på Genetec.
Avgörande betydelse för fysisk säkerhet
EU:s oro över cybersäkerhet är välgrundad och det är viktigt att förstå att stationära och bärbara datorer samt servrar inte är de enda enheter som är sårbara för cyberhot. En uppkopplad fysisk säkerhetsenhet kan utgöra en nog så allvarlig sårbarhet, menar Andreas Silvede.
– Alla tekniska komponenter, exempelvis smarta kameror, passersystem, elektroniska lås, sensorer av olika slag som leverantörer av fysiska säkerhetslösningar installerar och integrerar kan bidra till att göra ditt fysiska säkerhetssystem alltmer sårbart för cyberattacker om de inte säkras ordentligt, säger han.
Checklista för organisationer
Genetec har utvecklat en checklista för att hjälpa organisationer att bedöma sin status i förhållande till NIS2-kraven.
Vanliga cybersäkerhetsrisker kopplade till fysisk säkerhet inkluderar:
- Man-in-the-middle-attacker: Angripare får tillgång till ett nätverk och samlar in information som utbyts mellan enheter, såsom dörrkoder eller inloggningsuppgifter.
- Skimming- och reläattacker: Brottslingar klonar information på ett offers kort och får tillträde.
- Kontrollenhetsattacker: Angripare skriver över kontrollenhetens firmware, vilket gör den obrukbar.
Med sådana hot i åtanke är det inte förvånande att nyckelelement i NIS2-direktivet hanterar dessa frågor. Efterlevnad av NIS2 garanterar aktörer i kritiska sektorer att de fysiska säkerhetslösningar de använder inte äventyrar deras cybersäkerhet.
Detta måste göras
I praktiken kommer NIS2 att kräva att berörda aktörer, särskilt de som arbetar med säkerheten, inför robusta cybersäkerhetsåtgärder för att skydda sina digitala system och nätverk enligt följande krav:
- Identifiering av kritiska digitala tillgångar
Organisationer måste upprätta en lista över sina kritiska digitala tillgångar, det vill säga de digitala element och resurser som är avgörande för deras verksamhet, inklusive utrustning, programvara och känsliga data. - Hantering av cyberrisker
Organisationer måste regelbundet genomföra riskbedömningar för att identifiera potentiella cyberhot och sårbarheter samt definiera strategier för att minska dessa risker. - Implementering av lämpliga cybersäkerhetsåtgärder
Organisationer måste införa tekniska säkerhetsåtgärder (brandväggar, antivirus, intrångsdetektion, etc.) och implementera strikta cybersäkerhetspolicyer. - Rapportering av incidenter
Vid en cybersäkerhetsincident måste berörda parter snabbt och korrekt rapportera händelser som kan påverka deras verksamhet eller informationssäkerhet. - Samarbete med de behöriga myndigheterna
Organisationer måste samarbeta med nationella cybersäkerhetsmyndigheter och bidra till hanteringen av cyberkriser. - Personalutbildning
Anställda måste göras medvetna om cybersäkerhetsfrågor och utbildas för att använda ny teknik på ett säkert sätt. - Efterlevnad och bevis
Aktörer måste säkerställa att deras verksamhet följer NIS2-kraven och att de kan bevisa sin efterlevnad.
Säkerhetsmodell med flera lager
Med rätt lösningar kan en stor del av bördan av NIS2-direktivet lättas, menar Andreas Silvede.
– En säkerhetsmodell med flera lager kan hjälpa organisationer att minska sina risker och samtidigt säkerställa att de följer direktivet. Med snabba ändringar i organisationens fysiska säkerhet kan de definitivt stärka sin beredskap inför NIS2, säger Andreas Silvede sammanfattningsvis.
Fotnot: Genetecs NIS2-whitepaper med checklistor för att identifiera snabba lösningar och förbättra organisationers cybersäkerhet inom grundläggande områden kan laddas ner via https://www.genetec.com/a/nis2