Välkommen tillbaka till CSC:s fikasamtal – en serie intervjuer med CSC:s experter på Digital Brand Services, där vi pratar om branschproblem inom IT-säkerhet, domäner, varumärkesskydd och bedrägeriskydd.
Jag tar en fika med våra ämnesområdesexperter och diskuterar sådant som de funderar över. Den här månaden har den globala chefen för säkerhetstjänster, Mark Flegg och jag diskuterat direktivet om nätverks- och informationssäkerhet 2022 (NIS2), som träder i kraft i oktober 2024. Mark tog en kopp koffeinfritt Lavazza-kaffe med mjölk (andra kaffemärken finns att tillgå!). Jag valde ett starkt koffeinfritt te med mjölk och en sockerbit.
Välj en god dryck och ta fem minuters paus medan du läser vår diskussion.
En solig torsdagsmorgon tar jag en kopp te, sätter på mig headsetet och sätter mig ned för att prata med Mark Flegg. Efter en kort diskussion om hur Lavazza egentligen ska uttalas (vi kom överens om ”la-vat-sa” i stället för ”la-vassa”) gick vi rakt på sak – det heta ämnet NIS2. Jag ber Mark att ge mig en kort genomgång.
”NIS2 är ett direktiv från Europaparlamentet om att förbättra IT-säkerhetsåtgärder för medlemsländerna. Det enklaste sättet att föreställa sig det är att tänka att det är som GDPR fast för IT”, förklarar han. Jag tog sedan en titt på den officiella sammanfattningen av NIS2 och den kräver en hög gemensam nivå av IT-säkerhet inom hela unionen, vilket omfattar nationella strategier för IT-säkerhet, upprättande av krishanteringsmyndigheter särskilt inriktade på IT-säkerhet, åtgärder för riskhantering, tydlig rapportering och genomförande av intrångsbekämpning.
”Tidigare har liknande direktiv som påpekat vikten av utvecklade IT-säkerhetsåtgärder införts, men de fungerade mer som riktlinjer än något annat. NIS2 är i stort sett en utveckling av dessa och har nu lagförts.” Detta trädde i kraft i december 2022 och EU:s medlemsstater har fram till den 17 oktober i år på sig att definiera hur de kommer att integrera det i sina egna lagstiftningar för respektive region.
NIS2 påverkar ett urval av 10 branscher som Europaparlamentet anser vara nödvändiga för att samhället ska fungera: ekonomisk säkerhet, elektronisk kommunikation (e-post), ekonomi, dataleverantörer, sjukvård, mat och vatten, lagar och säkerhet, transport, energi, och skyddstjänster. ”Även om det kan verka som en relativt begränsad lista täcker det egentligen alla organisationer som kan påverka samhället”, tillägger Mark. Listan är utformad för EU:s medlemsländer men täcker även alla organisationer som gör affärer i EU – precis som GDPR.
NIS2-direktivet är ett 60-sidigt dokument – vilket säkert är som en vanlig kvällsläsning för Mark, men kanske inte för alla andra – så jag frågar honom vilka viktiga punkter som organisationer som verkar inom EU eller som gör affärer med EU:s medlemsländer behöver tänka på. Mark lyfter fram tre åtgärdspunkter som han anser är centrala.
Nummer ett. ”Granska policyerna för riskhantering! Se till att de inkluderar domänregistrarer och DNS-tjänster. Se till att de organisationer du arbetar med är NIS2-kompatibla, annars riskerar du att inte följa regelverket”, säger Mark. Precis som med GDPR resulterar bristande efterlevnad av NIS2 i ganska dryga böter: 10 miljoner euro eller 2 % av den årliga globala omsättningen, beroende på vilket som är högst. Se till att du har DNS i företagsklass och även DNS-redundans”. Han tillägger sedan: ”Skaffa dig en plan B!”.
Nummer två. ”Granska dina leverantörer för NIS2 och gör det så snart du kan”. När det gäller IT-säkerhet är du bara så stark som din svagaste länk, så det är viktigt att bedöma tredjepartsleverantörer i leveranskedjan. Mark föreslår att göra en bedömning genom att skicka ut ett frågeformulär om riskbedömning till leverantörerna, be om en förklaring om NIS2 eller skapa några tillämpliga servicenivåavtal.
Och nummer tre? ”Utse en CSIRT”, säger Mark. Jag frågar vad det är. Det är en förkortning av Computer Security Incident Response Team, eller enhet för hantering av IT-säkerhetsincidenter, ett team som samarbetar med regeringens egen CSIRT om en incident skulle ske.” Organisationer inom de angivna branscherna har bara 24 timmar på sig att rapportera en incident, så det är viktigt att få ihop teamet och att alla agerar tillsammans. Jag undrar vem som ska ingå i CSIRT. ”Det måste vara ett tvärdisciplinärt team som täcker IT-säkerhet, IT, juridik, styrning och efterlevnad. IT-säkerhet är allas ansvar – representanter från vart och ett av dessa områden måste inte bara vara medvetna, utan måste vara beredda att agera”, säger Mark.
Tiden är definitivt avgörande när det gäller NIS2 – med mindre än fyra månader kvar till oktober är det viktigt för alla organisationer som omfattas av direktivet att få sina IT-säkerhetsåtgärder på plats.
—
Tack för att du läser vårt fikasamtal om NIS2. Håll utkik efter nästa inlägg i serien, där jag går igenom andra relevanta branschämnen med CSC-experter.
Förresten …
Du kan ta reda på mer om CSC:s domänskydd och DNS-tjänster här, eller fylla i det här formuläret för att chatta med någon av våra experter.