Innehåll
Vad är NIS2?
För vem gäller NIS2?
Hur är NIS2 kopplat till SaaS hantering?
NIS2 är ett nytt direktiv för EU:s medlemsländer som träder i kraft 2024. NIS2-direktivet är en fortsättning på det ursprungliga NIS-direktivet som omfattar hur organisationer och företag som anses vara viktiga för samhället och tillhandahåller väsentliga tjänster ska hantera cybersäkerhet och vilka förfaranden och bästa praxis de måste följa.
NIS2 - "Network and Information Security Directive"
Det nya direktivet innefattar fyra huvudsakliga områden:
Riskhantering: Organisationer måste använda sig av cybersäkerhetsåtgärder. Detta omfattar incidenthantering, säkerhet i leveranskedjan, förbättrad kryptering, åtkomsthantering och nätverkssäkerhet.
Företagets ansvarsskyldighet: Företagsledningen måste se till att de är utbildade och kapabla att hantera en enhets cybersäkerhetsåtgärder. Underlåtenhet att göra detta innebär nu ett större ansvar och kan leda till böter och andra efterverkningar.
Rapporteringsskyldigheter: Berörda enheter måste nu ha rutiner på plats för att rapportera säkerhetsincidenter med betydande påverkan, och att göra detta inom vissa tidsramar.
Kontinuitet i verksamheten: Organisationer måste nu skapa planer för hur verksamheten kan fortsätta under en större störning eller säkerhetsincident. Detta inkluderar insatser som systemåterställning och responsteam
Förutom dessa fyra huvudområden listas också flera "minimikrav". Dessa krav är följande
- Riskbedömningar och säkerhetspolicyer på plats
- Förfaranden för kryptografi och i vissa fall kryptering
- Särskilda säkerhetsrutiner för anställda med tillgång till mer känsliga och viktiga uppgifter
- Användning av multifaktorautentisering (MFA)
- Förfaranden för utvärdering av effektiviteten i säkerhetsåtgärderna
- Handlingsplan för hantering av säkerhetsincidenter
- Utbildning i cybersäkerhet för anställda
- Skapa planer och rutiner för att hantera verksamheten under och efter en säkerhetsincident
- Strängare säkerhet när det gäller leveranskedjor och leverantörsrelationer
För vem gäller NIS2?
NIS2 innehåller två olika typer av klassificeringar för organisationer inom kritiska sektorer: "Essential entities" (EE) och "Important entities" (IM)
"Essential entities" inkluderar organisationer inom:
Energi
Transport
Finans
Offentlig förvaltning
Hälsa
Utrymme
Vattenförsörjning
Digital infrastruktur
"Important entities" inkluderar organisationer inom:
Posttjänster
Avfallshantering
Kemikalier
Forskning
Livsmedel
Vissa tillverkare
Digitala leverantörer
Utöver dessa kategorier bedöms "Essential entities" och "Important entities" även utifrån sin storlek i form av antal anställda och årlig omsättning.
Hur spelar SaaS-hantering in i NIS2?
Implementeringen av en lämplig SaaS-hanteringsplattform för digitala tjänster är avgörande för många aspekter av NIS2. Den hjälper företag att kontrollera användningen av sin onlineprogramvara, skydda känsliga data och se till att endast behöriga användare har åtkomst till olika system med åtkomstkontroll.
Detta är naturligtvis mycket, mycket viktigt för organisationer som direkt påverkas av NIS2 att hålla reda på. Men vad vissa kanske missar är att eftersom NIS2 även omfattar säkerhet i leveranskedjan måste företag och tredje parter som levererar någon form av tjänst eller produkt till dessa organisationer också följa NIS2 för att få göra affärer med dem.
Detta innebär att en stor mängd företag, inte bara de som direkt kategoriseras inom NIS2, kommer att påverkas och måste se över sin cybersäkerhet. Krav som att ha rutiner för datasäkerhet och hantera åtkomstkontroll till mjukvarusystem kommer därför att bli minimikriterier för alla företag som har någon form av affärsrelation till organisationer som kategoriseras inom NIS2.
Om du arbetar på ett litet eller medelstort företag och letar efter en användarvänlig och kostnadseffektiv hanteringsplattform för att hjälpa dig med åtkomstkontroll och datasäkerhet, överväg att kontakta oss här för att lära känna Substly bättre
