NIS2 inget att blunda för - uppdatering av säkerhetsnivåer som inte får underskattas
Vi har alla sett ganska många attacker på samhällsfunktioner under det senaste året, vilka ställt till med rejäla problem. Senast idag läste jag om hur hemsidorna för Riksdagen, Finansinspektionen, Försäkringskassan och Kronofogden upplevt stora problem från en rysk cyberattack, vilket visar hur sårbart vårt samhälle är. Vad kan vi göra för att skydda oss från dessa allvarliga attacker? Det har EU funderat på och svaret heter NIS2.
NIS2-direktivet (Network and Information Security Directive 2nd Edition) ska, tillsammans med CER-direktivet (Directive on the resilience of critical entities), börja tillämpas den 18 oktober i år för att därefter anpassas till svensk lagstiftning, vilket i dagsläget beräknas vara klart i januari 2025. Det innebär att EU tar ett gemensamt grepp för att förbättra skyddet för kritisk infrastruktur och digitala tjänster mot cyberhot. NIS2 behandlar säkerhetsnivån i EU och CER om kritiska entiteters motståndskraft, det vill säga vilka samhällsfunktioner vi till varje pris måste skydda – man räknar upp 18 sektorer som kritiska som till exempel transport-, energi-, bank- & finans-, hälso- och sjukvårds-, vatten- och avlopps- och rymdsektorn, se MSB:s webbsida för hela listan.
Man vill utveckla en hög gemensam säkerhetsnivå i EU och på så sätt avsevärt minska risken för cyberattacker som kan påverka samhällets säkerhet. Dessutom ställer CRA (Cyber Resilience Act) krav på säkerheten i alla uppkopplade produkter som kameror, passersystem med mera.
Fysisk säkerhet börjar i perimetern
Om man, som jag, arbetar med att skydda objekt så är det fysiska skyddet av lokalen eller området kritiskt. Idag finns det många olika lösningar för detta, men i Sverige kan vi inte använda de som skulle ge högst säkerhet som exempelvis biometriska lösningar. Det anses inte skydda individens integritet i linje med EU:s och våra regelverk. Skyddet av individens integritet är viktigt och idag kan vi inte använda den möjligheten i den utsträckning som man gör i till exempel USA. Frågan är om NIS2 kommer att driva på en debatt för att möjliggöra tillgång till vassare verktyg i flera fall, det återstår att se.
En väg är att använda personliga smartphones, som idag har en hög säkerhetsnivå, för att koppla åtkomst till en individ. Det innebär att alla behöver ha en personlig mobil och det kan ge andra problem – inte minst kostnadsmässigt.
Passerkort, kortläsare och tillhörande knappsats är inte så säkra som du tror
De flesta av dagens passersystem består av kortläsare med knappsats för personlig kod, men faktum är att de inte är speciellt säkra. Att kopiera passerkort är i de flesta fall inte svårt, och att kika över axeln för att se koden på en knappsats är lika gammalt som uttagsautomater. För att inte tala om att låna ut sitt kort, vilket är väldigt praktiskt, men plötsligt fallerar hela säkerhetssystemet.
Vi behöver alla se över vårt hus för att stärka identitets- och åtkomsthanteringen – och det gäller inte bara NIS2-direktivets kritiska sektorer. De flesta organisationer som värderar säkerhet behöver ta sig en funderare på vilken säkerhet man egentligen har – och jag tror att många kommer att bli överraskade av vilka sårbarheter som dyker upp i det fysiska skyddet.
Ansvaret ligger hos ledningen
Ansvaret för att implementera NIS2 i kritiska sektorer och entiteter ligger på verksamhetens ledning. Uppfyller man inte kraven finns det risk för stora sanktionsavgifter.
I dagsläget är det oklart hur lång tid det kommer att finnas för implementering, men en gissning är att det ska vara klart under 2025. Det kan låta avlägset, men det innebär att arbetet behöver påbörjas snarast för att ha en chans att lyckas.
Vill du veta mer om hur säkra era passersystem är?
Om du funderar på var ni står med säkerheten i era passersystem, hör av dig så kan vi se om vi kan hjälpa er att få klarhet. NIS2 är inget man kan blunda för, och det kan bli dyrt om man inte uppfyller kraven.
- Johnny Eriksson
Affärschef Inbrott/Access
