NIS2: Ökad OT-säkerhet i ett nytt regelverk

Europeiska unionen (EU) har nyligen uppdaterat sina bestämmelser om nätverks- och informationssäkerhet genom publiceringen av NIS2-direktivet. Denna betydande förändring breddar utbudet av sektorer och organisationer som direktivet gäller för. Dessutom ger det mer exakta definitioner av vilka sektorer som påverkas. Som en följd av detta måste organisationer nu grundligt granska och förbättra sina befintliga säkerhetsåtgärder inom både informationsteknik (IT) och operativ teknik (OT) för att uppfylla dessa nya standarder.

Europeiska unionen publicerade direktivet om nät- och informationssäkerhet den 27 december 2022. Detta direktiv fastställer en rättslig ram som de enskilda medlemsstaterna i EU är skyldiga att införliva i sina nationella lagar senast den 17 oktober 2024. Det är varje medlemslands ansvar att definiera specifika minimikrav.

Detta är särskilt viktigt för att specificera de sektorer som påverkas och fastställa tröskelvärden.

Det är redan mycket troligt att antalet berörda organisationer kommer att öka betydligt - experter är överens om att det finns över 100.000 organisationer i Europa som kommer att omfattas av de nya reglerna.

I framtiden kommer organisationer att vara juridiskt skyldiga att upprätthålla en hög nivå av nätverks- och informationssäkerhet och säkerställa kontinuerlig kvalitet. Detta gäller alla system och komponenter som är viktiga för att leverera kritiska tjänster, inklusive IT, OT, inbyggda system, datacenter och andra. Organisationer måste ta hänsyn till flera viktiga aspekter:

• Riktlinjer för informationssäkerhet och organisationsstruktur: Detta innebär att man skapar en strukturerad processorganisation för att hantera informationssäkerhet
• Riskanalys: Ett proaktivt tillvägagångssätt för att identifiera, klassificera och bedöma risker med hjälp av en standardiserad process.
• Hantering av aktiva leverantörer: Hantering av risker i samband med tredjepartsleverantörer av IKT och leveranskedjor
• Tekniska åtgärder: Implementera fysisk säkerhet, genomföra penetrationstester, nätverkssegmentering och säkerställa robust autentisering, auktorisering och loggning för att upptäcka säkerhetsrelevanta händelser
• Organisatoriska åtgärder: Effektiv hantering av säkerhetsrelevanta händelser, kontinuerlig förbättring av processer samt regelbundna säkerhetskontroller och revisioner

Alla åtgärder enligt NIS2-direktivet måste kunna verifieras av de statliga tillsynsmyndigheterna i respektive EU-medlemsland. Detta rättsliga krav gäller inte bara direkt berörda organisationer utan även de som ingår i deras leveranskedja. Som ett resultat av detta kräver NIS2 en tydlig revisionsmekanism och revisionsförfaranden för outsourcade tjänster. Det är viktigt för alla organisationer att bedöma om de påverkas direkt eller indirekt av NIS2-direktivet i detta skede.

EU lägger ansvaret för efterlevnaden av NIS2 på ledningsnivå i varje organisation. Påföljderna för bristande efterlevnad är betydande och sträcker sig från böter som är jämförbara med dem enligt GDPR till eventuell tillfällig avstängning av ledningspersonal.

Det förväntas att det inte kommer att finnas någon teknisk differentiering i dessa krav. Detta innebär att åtgärder för att säkerställa nätverks- och informationssäkerhet inom IT, OT och inbyggda system sannolikt kommer att följa samma regler och genomgå liknande inspektionsförfaranden av tillsynsmyndigheten.

Att implementera NIS2-direktivets standarder för nät- och informationssäkerhet i OT-miljöer (Operational Technology) innebär stora utmaningar. Dessa miljöer är komplexa och består ofta av olika äldre system, egenutvecklad teknik och ett nät av sammankopplade enheter. Komplexiteten ökar ytterligare på grund av de varierande säkerhetsnivåerna i många industriella system. Att identifiera dessa nivåer är ett viktigt första steg för att utveckla eller uppgradera till en säkerhetsarkitektur som möjliggör konsekvent säkerhetsövervakning.

Som din engagerade partner erbjuder Orange Cyberdefense omfattande stöd för att stärka cybersäkerheten för industriella system. Våra specialiserade OT-säkerhetsutvärderingar är utformade för att hjälpa din organisation att anpassa sig till NIS2-direktivet och andra säkerhetsstandarder. Dessa bedömningar ger en tydlig förståelse för operativa risker och levererar praktiska, handlingsbara rekommendationer. Vårt fokus ligger på att förbättra säkerheten för människor, processer och teknikkomponenter.

Om ni vill ha mer detaljerad information kan ni besöka vår sida om bedömningar av industriell säkerhet.

Enligt NIS2-direktivet och andra säkerhetsstandarder är det ett viktigt säkerhetsmandat att skydda nätverk och tillgångar, särskilt för kritisk infrastruktur. Vår strategiska nätverksdesign tillgodoser detta behov genom att ta hänsyn till den växande integrationen av IT och OT, tillsammans med införandet av ny teknik som 5G och den ökade användningen av mobila system i industriella miljöer. Vi hjälper företag att implementera djupförsvarsarkitekturer, som inkluderar effektiv segmentering av IT- och OT-nätverk och skräddarsydd implementering av mikrosegmentering för OT-nätverk.

Vi är medvetna om cybersäkerhetshotens dynamiska natur och lägger därför stor vikt vid den mänskliga aspekten av säkerhet. Vi erbjuder utbildning i säkerhetsmedvetenhet för att hjälpa personalen att känna igen och reagera på potentiella attacker.

Vår managerade brandväggstjänst har en riskbaserad strategi som ger ett starkt skydd och snabb upptäckt av hot, kompletterat med virtuell patchning och snabb incidenthantering vid behov. Dessutom ger vår proaktiva hanterade säkerhetstjänst för slutpunkter robust förebyggande och upptäckt av skadlig kod, tillsammans med policyskapande och effektiv hothantering.

Med vår Secure Access Service Edge-lösning och Zero Trust Network-arkitektur erbjuder Orange Cyberdefense säker hantering av åtkomst till ert företags nätverk och tillgångar.

Organisationer måste ha en djup förståelse för sina IT- och OT-nätverk för att kunna skydda tillgångar, upptäcka komplexa hot och vara redo för säkerhetsincidenter. En stor utmaning ligger i att omvandla tekniska data till meningsfull, säkerhetsrelevant information och förstå hur säkerhetshändelser påverkar industriella miljöer.

Orange Cyberdefense Managed Industrial Security Services ger er en heltäckande förståelse för er operativa teknik (OT). Våra tjänster hjälper er att fatta välgrundade säkerhetsbeslut. Vi fokuserar på att skapa och uppdatera en detaljerad inventering av era OT-tillgångar, sätta tillgångsdata i sitt sammanhang, identifiera kopplingar och sårbarheter samt tillhandahålla specifika, handlingsbara rekommendationer. Genom att integrera hot- och sårbarhetsinformation förbättrar vi era insikter och erbjuder en solid grund för att utveckla ett starkt OT-säkerhetsprogram.

För att minimera operativa risker i IT/OT-anslutningar krävs dessutom effektiv hotdetektering i OT-miljöer utan att nya risker introduceras. Att förstå säkerhetshändelser och deras inverkan på OT-system är avgörande för att effektivt kunna uppfylla cybersäkerhetsstandarder.

NIS2-direktivet innebär en betydande översyn av standarderna för nät- och informationssäkerhet inom Europeiska unionen. Direktivet kräver att industriella miljöer upprätthåller en konsekvent hög nivå av säkerhetsmognad, med en stark betoning på att förstå och hantera effekterna av säkerhetshändelser.

En stor utmaning för många organisationer är bristen på resurser och expertis för att effektivt bedöma OT-risker och hantera säkerhetshändelser och varningar. Detta gör att de ofta befinner sig långt från sin kärnverksamhet, vilket ökar behovet av specialkunskaper och stöd.

Som ett resultat av detta finns det en växande trend bland dessa organisationer att söka kompetenta partners som Orange Cyberdefense. Med sin expertis inom cybersäkerhet och hanterade säkerhetstjänster kan de hjälpa organisationer att uppfylla de rigorösa kraven i NIS2-direktivet och säkerställa robust nätverks- och informationssäkerhet.