I takt med at digitale trusler blir stadig mer sofistikerte, har Europa tatt et betydelig grep for å styrke sitt forsvar innen cybersikkerhet gjennom vedtaket av NIS2-direktivet ("Direktiv om nettverks- og informasjonssikkerhet" på norsk). NIS2 markerer en viktig utvikling i Europas tilnærming til cybersikkerhet. Med utgangspunkt i det opprinnelige NIS-direktivet, tar den nye strategien sikte på å møte dagens komplekse digitale trusler ved å styrke sikkerheten i nettverks- og informasjonssystemer i hele EU.
Hva er NIS2-direktivet?
Direktivet utvider eksisterende regler til å omfatte et bredere spekter av sektorer som helse, digital infrastruktur og offentlig forvaltning, med en tydelig anerkjennelse av deres kritiske samfunnsfunksjoner. Hovedmålet er å sikre en felles høy standard for cybersikkerhet på tvers av medlemslandene, redusere risiko og fremme en kultur for forebyggende sikkerhet.
Kjerneelementene i NIS2
NIS2 er utformet for å heve cybersikkerheten på tvers av organisasjoner i alle størrelser, fra små bedrifter til store selskaper. Direktivet er spesielt relevant for kritiske sektorer som digital infrastruktur, energi, helse, transport, offentlig administrasjon og produksjon.
Direktivet fastsetter minimumskrav til cybersikkerhet som organisasjoner må innføre. Dette omfatter risikohåndtering, hendelseshåndtering og kontinuitetsplanlegging. Regelmessige sikkerhetsvurderinger og revisjoner er også pålagt for å sikre etterlevelse. Det legger betydelig ansvar på organisasjonens ledelse for å sikre at disse tiltakene er på plass, og utvider også ansvaret til underleverandører og leverandører utenfor EU. Selv om mange land ennå ikke har innlemmet NIS2 i sine nasjonale lover, forventes det at de vil gjøre dette innen 2025. Avhengig av hvordan NIS2 implementeres lokalt, kan ledelsen til og med bli personlig ansvarlig, og organisasjoner kan møte sanksjoner, som bøter, som kan beløpe seg til opptil 2 % av omsetningen.
IAMs avgjørende rolle i samsvar med NIS2
Identitets- og tilgangsstyring (IAM) er avgjørende for robust cybersikkerhet og spiller en viktig rolle i etterlevelsen av NIS2. IAM-løsninger gjør det mulig for organisasjoner å administrere hvem som har tilgang til systemene deres og hvilke handlinger de kan utføre, noe som minimerer risikoen for uautorisert tilgang og potensielle datainnbrudd.
Ved å ta i bruk IAM kan organisasjoner håndheve sterke autentiseringsprotokoller, begrense tilgangsrettigheter og overvåke brukeraktiviteter for å avdekke uvanlig atferd. Disse aspektene er i tråd med NIS2-direktivets mål om risikostyring og rask respons på hendelser, og sikrer at tilgang kun gis til autoriserte personer.
IAM bidrar dessuten til etterlevelse ved å tilby detaljerte revisjonslogger og -rapporter som er avgjørende for å kunne påvise at sikkerhetsstandardene overholdes under revisjoner. Integrering av IAM i cybersikkerhetsstrategier styrker ikke bare sikkerhetsrutinene, men bidrar også til å oppfylle de strenge kravene i NIS2-direktivet.
Forberedelser til NIS2: Veiledning for kommuner og fylker
Offentlige institusjoner spiller en viktig rolle i implementeringen av NIS2 og må ta proaktive steg for å forberede seg. Det første trinnet er å gjennomføre grundige risikovurderinger for å identifisere sårbarheter og områder som trenger forbedring.
En solid plan for hendelseshåndtering er avgjørende og bør inneholde prosedyrer for å oppdage, rapportere og håndtere cyberhendelser raskt og effektivt for å minimere skade.
Investering i opplæring og økt bevissthet om cybersikkerhet er også kritisk. Å utdanne de ansatte om digitale trusler og gi dem nødvendig kompetanse til å håndtere disse kan vesentlig styrke en organisasjons forsvar.
Med andre ord kan implementering av avansert teknologi, som IAM-løsninger, hjelpe offentlige institusjoner med å oppfylle NIS2s sikkerhetsforventninger og beskytte viktig infrastruktur mot cybertrusler.
Identum og Vismas forpliktelse til fremragende cybersikkerhet
Identum er stolt av å være en del av Vismas sikkerhetsprogram, noe som understreker selskapets forpliktelse til fremragende cybersikkerhet. Visma vurderer sikkerhetsnivået i forhold til målrettede standarder og utvikler risikostyringsstrategier som inkluderer utbedring av kritiske sårbarheter, i samsvar med NIS2s fokus på risikostyring og hendelsesrespons.
Vismas døgnbemannede sikkerhetsoperasjonssenter dekker overvåking, deteksjon, forebygging og hendelseshåndtering, og Visma Cyber Crime Centre (VC3) forebygger aktivt cyberkriminalitet for å sikre organisasjonen.
Ved hjelp av Security Maturity Index sporer Visma sikkerhetsprestasjonene i forhold til målene i sanntid, noe som bidrar til strategisk beslutningstaking og oppfyller NIS2s krav til ansvarlighet.
Vismas sikkerhetsprogram legger vekt på kontinuerlig læring og forbedring, og sørger for at sikkerhetskompetansen og -modenheten forblir intakt, selv ved endringer i team og produkter.
