NIS2-SAMSVAR "Formålet med NIS2-direktivet er å øke motstandsdyktigheten i nettverks- og informasjonssystemer til både private og offentlige aktører som opererer i relevante sektorer i EU." HVEM HVA HVORDAN HVORFOR LØSNING NIS2 virkeområde De 2 kategoriene for enheter som blir påvirket (vesentlige og viktige) underlegges forskjellige tilsynsregimer og påvirkes også av størrelse. De 2 størrelsesgrupper vil få forskjellige bøter/straff dersom reglene brytes. (Unntak - også mindre virksomheter som anses for å ha en nøkkelrolle for samfunnet, økonomien eller en viss sektor, omfattes av NIS2.) VESENTLIGE Energi Transport Bank Finansmarkeds infrastrukturer Helse Drikkevann Avløpsvann Digital infrastruktur IKT-tjenester Offentlig forvaltning (sentral og regional) Romvirksomhet VIKTIGE Post - og kurertjenester Avfallshåndtering Produksjon og distribusjon av kjemikalier Matproduksjon Produksjon av visse varer (medisinsk utstyr, IKT-utstyr, kjøretøy, elektronikk, maskiner, transportutstyr) Tilbydere av digitale tjenester Forskning Betydelig størrelse: 250 ansatte og omsetning over €50 mill. Viktig størrelse: 5-250 ansatte og omsetning over €10 mill. Hva er NIS2-kravene? 10 konkrete minimumskrav for sikkerhet - NIS2 art. 21 (2) Krav Beskrivelse (a) Risikoanalyse og sikkerhetspolicyer Vurderingen bør omfatte både ytre og indre trusler, tekniske og organisatoriske sårbarheter, samt mulige konsekvenser for virksomheten og samfunnet ved bortfall av tjenester. (b) Hendelseshåndtering Virksomheter skal ha etablerte og dokumenterte planer for håndtering av sikkerhetshendelser. Formålet er å sikre at organisasjonen raskt og effektivt kan identifisere, håndtere og begrense konsekvensene av digitale angrep og alvorlige sikkerhetsbrudd. (c) Beredskap Virksomheter må ha en klar og tydelig beredskapsplan som omfatter hvordan man skal håndtere alvorlige avbrudd, for eksempel forårsaket av cyberangrep, naturkatastrofer eller tekniske feil som påvirker datasentre, nettverk eller andre kritiske systemer. Løsninger for "backup og restore" må være grundig dokumentert og testet. Planen bør sikre at tjenestene kan opprettholdes eller gjenopptas innenfor en akseptabel tidsramme. (d) Leverandørkjedesikkerhet Leverandørkjeder er både kritiske og sårbare. I dag er disse kjeder ofte komplekse og lange, og virksomheter er avhengige av at de fungerer effektivt – gjerne i sanntid. Derfor må også leverandørene som er avgjørende for driften oppfylle relevante sikkerhetskrav. Typiske eksempler på dette er ved utsourcing av tjenester eller bruk av skyløsninger og programvare levert som tjeneste (SaaS). For å etterleve kravet må virksomheten etablere klare krav og kontroller i avtaler, og den må jevnlig følge opp og vurdere sikkerhetsnivået hos leverandørene. (e) Sikkerhet ved anskaffelser, utvikling og vedlikehold Bestemmelsen krever at innkjøp, utvikling og vedlikehold av nettverks- og informasjonssystemer integrerer informasjonssikkerhet fra start og gjennom hele systemets livssyklus. Dette betyr at man må planlegge anskaffelser og utvikling nøye, og stille klare sikkerhetskrav før avtaler inngås. Vedlikeholdet må også sikre at sikkerheten opprettholdes over tid. I praksis bør vedlikeholdsavtaler være på plass før anskaffelse eller utvikling igangsettes. En slik helhetlig tilnærming gir ikke bare bedre sikkerhet, men fører som regel også til det beste kommersielle resultatet, siden leverandøren da ofte vil være i en konkurransesituasjon. (f) Cybersikkerhetsstyring, prosedyrer og vurdering av effektivitet Virksomheter som påvirkes av NIS2 må opprette formelle styringssystemer og prosedyrer for cybersikkerhet. Dette skal bidra til å vurdere effekten av sikkerhetstiltakene. Prosessen vil tvinge virksomheten til å reflektere over hvordan de håndterer sikkerhet, samtidig som de dokumenterer arbeidet som blir gjort. (g) Cyberhygiene og opplæring I forordningen til NIS2 nevnes følgende eksempler på grunnleggende sikkerhetstiltak: Zero-trust-prinsipper Regelmessige programvareoppdateringer Sikker enhetskonfigurasjon Nettverkssegmentering Identitets- og tilgangsstyring Brukerbevisstgjøring og opplæring av ansatte om cybertrusler Virksomheter må dessuten vurdere sine egne cybersikkerhetsevner og sikkerhetsteknologier, inkludert bruk av kunstig intelligens og maskinlæring, for å styrke sikkerheten i nettverk og informasjonssystemer. (h) Rutiner for kryptering og databeskyttelse Større virksomheter bør innføre klare rutiner og prosedyrer for bruk av kryptografi og kryptering. Dette arbeidet vil øke bevisstheten rundt sikkerhetsbehov, både når det gjelder å stille krav og velge riktige løsninger. Hvordan rutinene utformes, avhenger av resultatene fra risikovurderingen. (i) Styring og administrasjon eiendeler, personell og tilganger Menneskelige feil er en av de største årsakene til sikkerhetsbrudd. Hele 95 % av sikkerhetsbruddene involverer menneskelige feil, som innsidetrusler, feil bruk av påloggingsdetaljer og brukerrelaterte tabber. De fleste av disse skyldes manglende kunnskap eller uoppmerksomhet. For å ha sikre systemer må man vite hva man har av eiendeler (aktiva) og hvilke tilganger disse har. (h) MFA og sikker kommunikasjon Virksomhetene skal ha: flerfaktor-autentisering ELLER kontinuerlige autentiseringsløsninger sikret stemme, video og tekstkommunikasjon og sikre nødkommunikasjonssystemer i virksomheten, når det er passende. Hvordan sikre samsvar? Krav Mulige tiltak (a) Risikoanalyse og sikkerhetspolicyer Benytt anerkjente rammeverk som: ISO/IEC 27001 NSMs grunnprinsipper CIS Controls Dokumenter sikkerhetsmål, roller, ansvar og styringsstrukturer. Innhent og bruk trusselvurderinger fra NorCERT, ENISA og/eller egne tjenesteleverandører. Etabler rutiner for å revidere og oppdatere sikkerhetsrutiner ved vesentlige endringer i trusselbildet. Sørg for ledelsesforankring og godkjenning av rutiner og risikovurderinger. (b) Hendelseshåndtering Utarbeid og dokumenter hendelseshåndteringsplan. Planlegg klare ansvarsforhold og varsling til relevante myndigheter. Gjennomfør regelmessige øvingsøkter og streb etter kontinuerlig forbedring. (c) Beredskap Utarbeid og vedlikehold planer for forretningskontinuitet og gjenoppretting, med klart definerte roller og prosesser. Test planene jevnlig gjennom simulerte scenarioer, som for eksempel løsepengeangrep eller tap av sentrale dataressurser. Det betyr å holde regelmessige øvelser. Sikre sikkerhetskopier offline og implementer uforanderlighet («immutability»), beskyttet med flerfaktorautentisering (MFA). Sørg for at det finnes backup-løsninger eller alternative systemer i kritisk infrastruktur, inkludert strøm, nettverk og tjenester. Gjennomfør regelmessige revisjoner av gjenopprettingsprosessene. (d) Leverandørkjedesikkerhet Kartlegg og klassifiser alle kritiske leverandører, for eksempel innen drift, IaaS (Infrastructure as a Service), maskinvare og programvare. Inkluder tydelige sikkerhetskrav i avtalene, med referanser til anerkjente standarder. Still også krav om regelmessige revisjoner, sikkerhetssertifiseringer og rapporter – som for eksempel SOC 2 Type II eller tilsvarende – både i avtaler og ved anskaffelser. (e) Sikkerhet ved anskaffelser, utvikling og vedlikehold Innfør klare anskaffelseskrav som omfatter sikkerhetsvurderinger og etablerte standarder. Krev regelmessig sårbarhetstesting og tilgang til kildekode når det er nødvendig. Opprett faste rutiner for sikker programvareoppdatering («patching») og sporbar versjonskontroll. (f) Cybersikkerhetsstyring, prosedyrer og vurdering av effektivitet Opprett et ISMS (Information Security Management System) for systematisk styring av informasjonssikkerhet. Implementer GRC-verktøy (Governance, Risk and Compliance) for å styrke styring, risikohåndtering og etterlevelse. Gjennomfør interne revisjoner og regelmessige ledelsesgjennomganger for å sikre kontinuerlig forbedring. Engasjer eksterne rådgivere for å bygge et robust og effektivt system. (g) Cyberhygiene og opplæring Implementer sterke sikkerhetstiltak, som: Passordrutiner og multifaktorautentisering (MFA) Oppdatert antivirusprogramvare og klientkontroll Gjennomfør opplæring i sosial manipulering, phishing og sikker digital adferd. Simuler angrep for å teste beredskapen. Tilby praktisk bevissthetsopplæring for å styrke kompetanse og årvåkenhet. Bruk konfigurasjonsverktøy og automasjon, for eksempel: Infrastructure as Code (IaC) Systemer for sikkerhetsbaseline og digital etterlevelse Sikker distribusjon og versjonskontroll Sikring av programvareforsyningskjeden (inkludert leverandørkontroll og tredjepartsstyring) Kontinuerlig systemovervåkning og dataintegritet Følg prinsippene for «security by design» og «security by default» i alle leveranser. Verifiser og valider alle komponenter før de tas i bruk. (h) Rutiner for kryptering og databeskyttelse Utarbeide rutine med prosedyre for kryptering. Hente inn bistand fra spesialister. Bruke sikre nøkkelhåndteringssystemer, fortrinnsvis HSM (Hardware Security Modules). (i) Styring og administrasjon eiendeler, personell og tilganger Innfør rollebasert tilgangskontroll (RBAC) og IAM-verktøy for effektiv tilgangsstyring. Gjennomfør regelmessige revisjoner av tilganger og overvåk brukeratferd for å oppdage avvik. Utfør bakgrunnssjekker ved nyansettelser eller overgang til sensitive stillinger (innenfor lovens rammer). Implementer klare rutiner for hendelseshåndtering og etabler en tydelig offboarding-prosess, inkludert fysisk adgangskontroll. Gjør ansvarlige roller bevisste på kravene og forventningene. (h) MFA og sikker kommunikasjon Innfør flerfaktorautentisering (MFA) for alle brukere med tilgang til sensitive systemer. Implementer kontinuerlig autentisering (KA) for løpende kontroll, helst i kombinasjon med MFA. Krypter all kommunikasjon, inkludert samtaler, fildeling, chat og andre sensitive data. Opprett dedikerte krisekommunikasjonskanaler for sikker og effektiv håndtering av hendelser. Hva er målet med dette kravet? Krav Mål (a) Risikoanalyse og sikkerhetspolicyer Sikre at virksomheten har et oppdatert risikobilde og et dokumentert styringssystem for informasjonssikkerhet. (b) Hendelseshåndtering Rask respons og minimal skade ved sikkerhetshendelser. Samordnet innsats internt og eksternt. Overholdelse av varslingsplikt i henhold til NIS2 (og eventuelle andre regelverk) (c) Beredskap Sikre at virksomheten raskt kan gjenoppta tjenester og beskytte kritisk informasjon ved hendelser som truer driften. (d) Leverandørkjedesikkerhet Minimer risikoen for sikkerhetsbrudd forårsaket av tredjeparter. Sikre at eksterne aktører ikke svekker virksomhetens drift. Etabler tydelig sporbarhet og ansvarlighet gjennom hele leverandørkjeden. (e) Sikkerhet ved anskaffelser, utvikling og vedlikehold Reduser risikoen for sikkerhetshull og kompromittering knyttet til programvare. Sikre at alle systemer gjennomgår en grundig sikkerhetsvurdering før de tas i bruk. Oppretthold tilliten til digitale løsninger gjennom kontinuerlig og kontrollert vedlikehold. (f) Cybersikkerhetsstyring, prosedyrer og vurdering av effektivitet Integrere cybersikkerhet i virksomhetens styringsmodell. Sikre kontinuitet, sporbarhet og ansvarlighet i sikkerhetsarbeidet. Redusere risiko gjennom helhetlig kontroll og styring. (g) Cyberhygiene og opplæring Sikre solid grunnleggende sikkerhet i virksomheten. Styrk ansattes evne til å gjenkjenne og håndtere trusler, som sosial manipulasjon og phishing. Forhindre at enkle feil eller ubevisste handlinger resulterer i alvorlige sikkerhetshendelser. Integrer sikkerhetstenkning som en naturlig del av daglige arbeidsrutiner. (h) Rutiner for kryptering og databeskyttelse Etablere sikker, effektiv og konsistent bruk av kryptering for å forhindre uautorisert tilgang og datalekkasjer. Sikre pålitelig og sikker behandling av informasjon. Skaffe tillit hos kunder og samarbeidspartnere. (i) Styring og administrasjon eiendeler, personell og tilganger Forhindre uautorisert tilgang til systemer og data. Redusere risiko ved interne trusler og feil. Sørge for sporbarhet og etterlevelse. (h) MFA og sikker kommunikasjon Hindre uautorisert tilgang til viktige systemer og data. Sikre pålitelig og fortrolig kommunikasjon i drift og krise. Øke tilliten og evnen til virksomhetens til å fortsette å levere sine tjenester. Hvilken sikkerhetsløsning kan hjelpe? Krav Løsning (a) Risikoanalyse og sikkerhetspolicyer ALLE + INTERN PROSESS (b) Hendelseshåndtering FieldEffect MXDR Heimdal MXDR WatchGuard MXDR (c) Beredskap Arcserve CloudAlly Comet (d) Leverandørkjedesikkerhet ConnectSecure SecurityScorecard (e) Sikkerhet ved anskaffelser, utvikling og vedlikehold ConnectSecure Heimdal WatchGuard (f) Cybersikkerhetsstyring, prosedyrer og vurdering av effektivitet ALLE + INTERN PROSESS (g) Cyberhygiene og opplæring Augmentt ConnectSecure FieldEffect Heimdal KnowBe4 usecure (h) Rutiner for kryptering og databeskyttelse StayPrivate WatchGuard (i) Styring og administrasjon eiendeler, personell og tilganger Augmentt Heimdal PAM (h) MFA og sikker kommunikasjon Augmentt WatchGuard SIKKERHETSRAMMEVERK SOM GJELDER ALLE Trykk her for informasjon om NIST-CSF og CIS CONTROLS– globale rammeverk for cybersikkerhet. Disse er ikke bindende regelverk, men anbefalte tiltak. Både NIST-CSF og CIS18 er universelle, mer visuelle og konkrete enn mange andre standarder.