Nätverks- och informationssäkerhetsdirektiv 2 (NIS2), som trädde i kraft i januari 2023, markerar ett betydande skifte i Europeiska unionens syn på cybersäkerhet. Byggt på det ursprungliga NIS-direktivet införde NIS2 striktare säkerhetsåtgärder, kortare tidsramar för incidentrapportering och ett större fokus på leverantörskedjans säkerhet. Organisationer som inte följer direktivet kan nu riskera böter på upp till 10 miljoner euro eller 2% av deras globala intäkter, beroende på vilket belopp som är högst.
En nyligen genomförd undersökning av SANS ger värdefulla insikter i hur organisationer förbereder sig för NIS2 och de utmaningar de står inför. Undersökningen samlade svar från cirka 500 yrkesverksamma, allt från säkerhetsadministratörer och analytiker till CSO:er och CTO:er. Den fångar ett brett spektrum av perspektiv från hela Europa samt ytterligare input från Nordamerika och Asien, vilket speglar NIS2:s globala relevans för organisationer som verkar i eller tillhandahåller tjänster till EU.
Förståelse för de hotade landskapet:
Undersökningen visar att nästan hälften av respondenterna (47%) anser att den nuvarande cyberhotnivån är "hög", medan 37% bedömer den som "allvarlig eller kritisk". Detta understryker den växande oron bland organisationer. Men trots dessa utmaningar finns också en optimism om NIS2:s roll i att förbättra cybersäkerheten. En betydande andel, 60%, ser direktivet som en positiv och nödvändig utveckling för att förbättra säkerheten för kritisk infrastruktur och digitala tjänster.
Genomförande och utmaningar:
Att implementera NIS2:s krav är dock ingen enkel uppgift. Enligt undersökningen har 35% av organisationerna redan påbörjat processen, medan ytterligare 50% arbetar mot efterlevnad. Men resan är inte utan hinder. Nästan hälften av organisationerna anger brist på resurser som en stor utmaning, och 37% kämpar med otillräckliga budgetar för att stödja de nödvändiga säkerhetsåtgärderna. Dessutom rapporterar 32% svårigheter på grund av brist på intern kunskap, vilket återigen belyser ett tydligt behov av specialiserad utbildning och expertis.
Branschspecifikt fokus:
Vissa sektorer uppfattas som särskilt sårbara för cyberhot enligt det nya direktivet. Undersökningen identifierade energi, hälso- och sjukvård samt offentlig förvaltning som de tre sektorer som sannolikt kommer att drabbas av betydande cybersäkerhetsincidenter, där energi var mest utsatt med 52%. Denna insikt understryker den avgörande betydelsen av att skydda samhällsviktiga tjänster, eftersom störningar i dessa kan leda till stora samhälleliga och ekonomiska konsekvenser.
Incidentrespons och rapportering:
En central del av NIS2-direktivet är dess betoning på snabb och effektiv incidentrespons. Undersökningen visar att 70% av organisationerna har formella incidentresponsplaner på plats, vilket är avgörande för att snabbt upptäcka och återhämta sig från cyberincidenter. Ändå saknar cirka 30% av organisationerna fortfarande strukturerade rapporteringsmekanismer, en brist som kan hindra efterlevnad av NIS2:s strikta krav på incidentrapportering inom 24 timmar. Lyckligtvis är 26% av de kända incidenterna hanterade inom 6-24 timmar efter upptäckt, även om fullständig åtgärd ofta tar 2-7 dagar. Detta tyder på att medan de initiala responsåtgärderna är snabba, finns det fortfarande utrymme för förbättringar i den övergripande incidentlösningsprocessen.
Beredskapsluckor mellan IT och ICS/OT:
Undersökningen belyser en märkbar skillnad i beredskap mellan IT-system och industriella styrsystem (ICS) eller operativ teknologi (OT). Medan 75% av organisationerna genomför årliga säkerhetsbedömningar för sina IT-system, gör endast 38% samma sak för sina ICS/OT-miljöer. Denna lucka är särskilt oroväckande för leverantörer av kritisk infrastruktur, eftersom det pekar på behovet av mer frekventa och anpassade bedömningar för att skydda industriella operationer.
Betydelsen av träning och medvetenhet:
Ett av de mest praktiska stegen mot NIS2-efterlevnad, som identifierades av 26% av deltagarna, är att förbättra grundläggande cybermedvetenhet och utbildning för anställda. Regelbundna utbildningsprogram kan avsevärt minska risken för social ingenjörskonst, såsom phishing, som fortfarande är populärt. Att investera i omfattande säkerhetsmedvetenhetsinitiativ är avgörande för att bygga en mer motståndskraftig organisatorisk kultur.
Nyckelrekommendationer för att uppnå efterlevnad:
För att navigera genom komplexiteten i NIS2 bör organisationer prioritera flera viktiga åtgärder. Att stärka leverantörskedjans säkerhet är avgörande, eftersom detta fortsatt är det största orosmomentet, där 25% av de som svarade angav det som den mest utmanande delen av direktivet. Detta inkluderar att införa mer intensiva leverantörsgranskningsprocesser, genomföra regelbundna revisioner och säkerställa att cybersäkerhetskrav är inkluderade i leverantörskontrakt.
Organisationer uppmanas också att bilda dedikerade incidentresponsgrupper för att förbättra deras förmåga att effektivt hantera säkerhetshändelser. Detta kan vara särskilt värdefullt för att minska svarstider och minimera påverkan av incidenter på både IT- och ICS/OT-miljöer. Vidare kan det stödja adoptionen av avancerade verktyg som system för säkerhetsinformation och händelsehantering (SIEM) samt lösningar för utökad detektion och respons (XDR) genom att avsätta tillräckliga resurser och öka cybersäkerhetsbudgeten.
Framåt – Att omvandla medvetenhet till handling:
Eftersom den första NIS2-efterlevnadsfristen passerade den 18 oktober 2024 och landspecifik lagstiftning förväntas antas inom den närmaste framtiden, är det avgörande för organisationer att säkerställa att de uppfyller direktivets krav. Detta inkluderar att samordna ledarskapet med direktivets mål, säkra de nödvändiga resurserna och säkerställa att alla intressenter förstår konsekvenserna av icke-efterlevnad. Genom att göra detta kommer organisationer inte bara att uppfylla sina regulatoriska skyldigheter, utan också stärka sin övergripande cybersäkerhetsställning och bli mer motståndskraftiga mot moderna hot.
