Två omfattande säkerhetsregelverk runt hörnet, hur påverkar det dig?
Tele2 Företags säkerhetsblogg
Inlägg 230912 - Martin Fransson
Sommaren är slut och vardagen är åter. Vi går in i en höstperiod som enligt flera bedömare kan innehålla flera allvarliga hot. Från Tele2s sida följer vi utvecklingen noga och vi fortsätter också vår externa samverkan med flera säkerhetsmyndigheter.
I dagens säkerhetsblogg ska vi titta närmare på två kommande säkerhetsregelverk som omfattar ett stort antal verksamheter i Sverige, både direkt och indirekt (exempelvis genom krav från kunder).
Network- and Information Security Directive (NIS2) samt Critical Entities Resilience Directive (CER) är två betydande regelverk som just nu införs parallellt i EU-länderna. Vi dyker rakt in i vad de innehåller och hur jag brukar förklara dess uppbyggnad och kravinnehåll.
Inlägg 230912 - Martin Fransson
Sommaren är slut och vardagen är åter. Vi går in i en höstperiod som enligt flera bedömare kan innehålla flera allvarliga hot. Från Tele2s sida följer vi utvecklingen noga och vi fortsätter också vår externa samverkan med flera säkerhetsmyndigheter.
I dagens säkerhetsblogg ska vi titta närmare på två kommande säkerhetsregelverk som omfattar ett stort antal verksamheter i Sverige, både direkt och indirekt (exempelvis genom krav från kunder).
Network- and Information Security Directive (NIS2) samt Critical Entities Resilience Directive (CER) är två betydande regelverk som just nu införs parallellt i EU-länderna. Vi dyker rakt in i vad de innehåller och hur jag brukar förklara dess uppbyggnad och kravinnehåll.
12 september 2023
NIS2 och CER, vad och för vilka?
EU har tidigare i år röstat igenom två nya direktiv som ska bidra till att säkerställa en säker digitalisering inom unionen. Direktiven syftar till att digitala tjänster och nätverk inte ska utvecklas snabbt och slarvigt. Digital infrastruktur inom utpekade sektorer ska förebygga incidenter och robusthet att motstå störningar. Direktiven ska ses som en politisk åtgärd för att knuffa de utpekade sektorerna till såväl säker drift som säkrare digital utveckling.
Upphovsskaparna av regelverken pratar själva om att regelverken ska bidra till digital suveränitet inom EU. Vägen till sådan suveränitet anses börja med att tillföra reglerande krav för att skydda EU:s inre marknad mot både antagonistiska hot och attacker samt tillhandahållande av driftssäkra och pålitliga tjänster. En annan effekt som ska uppnås är att EU ska stärka sin konkurrenskraft mot icke-europeiska it-företag. Till skillnad från exempelvis dataskyddsförordningen (GDPR), tar NIS2 och CER inte sikte på några speciella uppgiftskategorier (som exempelvis persondata med GDPR). NIS2 och CER avser i stället robusta- och säkra nätverk, it-system samt digital infrastruktur för de verksamhetsutövare som finns inom sektorer som är av betydelse för samhällets funktion.
Som med alla EU-direktiv krävs nationella införanden i varje medlemsland, till skillnad från EU-förordningar. Det svenska införandet av NIS2 och CER sker genom lagstiftning, och just nu pågår en så kallad SOU, en offentlig utredning, inom Regeringskansliet. Exakt vilka krav som ska gälla i Sverige är därför inte känt men utifrån EU-direktivet står huvuddragen klara. EU har tydliga lärdomar från NIS1-direktivet, där en av dom är viktigaste är behovet av en EU-gemensam bild kring praktisk tillämpning och omfattning av verksamheter. De ”spretiga” nationella införandena av NIS1 sägs av vissa snarare ha bidragit till att dra isär en gemensam EU-ställning, exempelvis att vissa länders svagare tillämpning skapat ”ogynnsam konkurrensfördel” gentemot andra EU-länder.
De som arbetar med det svenska införandet har definitivt bråda dagar. Redan i februari 2024 ska utredningen och nödvändiga lagförslag presenteras. Tidigt nästa höst måste Riksdagen ha röstat igenom lagändringarna för att de ska träda i kraft innan EU:s fastslagna slutdatum i oktober 2024. För att vi som påverkas av NIS2 och CER inte ska hamna i egen tidsnöd behöver vi börja jobba med det redan nu, och vi är många som påverkas. Det finns uppskattningar att bara i Sverige omfattas upp till 20 000 verksamheter direkt av bestämmelserna. Därtill kommer krav ställas indirekt på ett stort antal verksamheter.
För de verksamheter som redan lyder under annan speciallagstiftning (exempelvis patientdatalag, finansiella regelverk eller MSB-föreskrifter), innebär NIS2 och CER förstås ändå nyheter. Kraven på mer strukturerat arbete med förebyggande riskhantering, förmåga att motstå och hantera konsekvenserna av störningar (resiliens), ledningens utökade (personliga) ansvar och sanktionsavgifter vid överträdelser är några områden.
Oavsett om man har intresset av att skydda sin verksamhet effektivt, eller lyder under andra regulatoriska krav, har även de båda nya säkerhetsregelverken kopplingar till etablerade säkerhetsstandarder. Ett exempel är ISO 27000-seriens standarder för systematiskt arbete med informationssäkerhet. Naturligtvis finns det fler standarder och varje sektor kan nog förvänta sig ett tydligare krav på att jobba enligt sektorsspecifika säkerhetsstandarder. Finansiell sektor har flera betydande säkerhetsregelverk som redan täcker eller kompletterar både NIS2 och CER. För Tele2, och andra telekomoperatörer, är branschorganen GSMA, 3GPPs samt ENISA:s säkerhetsstandarder exempel på praktisk industristandard för utformning av säkra nätverk och stödsystem för operatörer.
En effektivt och varaktig förmåga kräver erforderlig styrning och ledning. NIS2-regelverket innefattar därför vilken typ av styrning som ska finnas införd, likaså vilka positiva effekter som ska komma ur styrningen. Innan ni själva, eller med stöd av någon hungrig it-leverantör, börjar dyka in i förebyggande- och reaktiva tekniska skyddsåtgärder behöver ett antal saker utkristalliseras, samt potentiellt också skapas och införas. Om er verksamhet också kommer omfattas av CER, ja då gäller även NIS2 ”automatiskt” för er verksamhet. Därigenom också de krav på intern styrning och ledning som kommer finnas i NIS2.
Var och hur börjar man då? Det är lätt att bara dyka på åtgärderna. Jag brukar råda att dela upp det både ansvar och arbetsuppgifter. Ett exempel är att driva det i olika arbetsströmmar (snarare än att samla allt som måste göras i en lång lista). Fördelen är den sekventiella ordningen, visibiliteten och möjligheten till tydligt utdelat ansvar. På detta sätt kan respektive arbetsström sannolikt också förhålla sig till kommande konkreta aktivitetslistor (checklistor), och då endast aktiviteter som är relevanta för respektive ansvarig. Eftersom det preliminära svenska förslaget kommer först i februari 2024 är min egen bedömning att det inte är aktuellt än att springa på åtgärderna. Det är bättre att ta vara på tiden till inventering, riskförståelse och åtgärdsförslag.
Vilka omfattas samt förslag till arbetsströmmar
Man behöver så klart börja med att fastslå om man omfattas och om det gäller NIS2, eller kanske även CER. Tabellen nedan visar de uppdelade sektorerna, men mer information finns såklart att läsa om vad som definierar varje sektor. Direktivet i sin helhet, med resonemang, hittar ni här. MSB hade tidigare också en informationssida om NIS2 och CER, men sannolikt förbereds en mer exakt rådgivning som kopplas till det nationella införandet och SOU:n som pågår.
Så var börjar man om man omfattas? Jag brukar föreslå modellen med arbetsströmmar. Den sammanhållande för de olika strömmarnas progress, stöd och resultatrapportering bör vara en central säkerhetsfunktion, men kan så klart också vara en annan funktion, exempelvis en stabs- eller rättsfunktion.
Arbetsströmmar
Internt ram- och säkerhetsregelverk
Styrning, ledning och nuläge
Ansvarig: Centrala säkerhetsfunktioner
Policy, styrdokument och vägledningar
Bedöm verksamhetsinterna krav inom relevanta säkerhetsområden, ex. informationssäkerhet, fysisk säkerhet, säkerhetskrav på slutanvändare osv. Med utgångspunkt från ISO 27000-serien, egna branschstandarder, vägledningar osv.
Inför eller förtydlliga betydelsen av relevanta säkerhetsområden i verksamhets- och utvecklingsprocesser. Exempelvis avseende systematiskt arbeta med riskhantering och riskreducerande åtgärder, mål och uppföljning
Definiera leverantörskrav som är relevanta och avtalsunderlag för befintliga och tillkommande leverantörer
Kunskap och kultur
Introducera samt presentera behov och krav för högsta ledningen
Information och utbildning för egna medarbetare samt uppdragstagare
Exempel på frågor att hantera
Vilka säkerhetsstandarder är relevanta för vår verksamhet? Ex. ISO 27000, ISO 31000, PCI-DSS, SSF 200 osv.
Vilka resurser kommer krävas för att uppfylla såväl verksamhetens- samt regulatoriska krav på säkerhet långsiktigt?
Förebyggande funktionella åtgärder
Mäta efterlevnad samt identifiera odukumenterad krav och förmågor
Ansvarig: Operationella utförare
Operationella utförare
Genomför er verksamhet analyserande åtgärder som riskanalyser, samt, säkerhetshöjande åtgärder som kontinuitetsplaner?
Uppfylls befintliga säkerhetskrav från interna ram- och regelverk, ex. avseende kryptering och diversitet?
Har er verksamhet förutsättning att bedriva sin verksamhet vid störningar? Vilka typer av tillgångar är kritiska och påverkar hela eller betydande delar av verksamheten.
Finns förmåga att upptäcka avvikelser med hjälp av automatiserade verktyg (ex. IDS, IPS, EDR osv.)? Analyseras loggar för avvikelser?
Yttrande till stab-funktioner
Kan befintliga nätverk- och IT-system utvecklas eller segmenteras till att uppnå ökad säkerhet?
Vilka tillgångar behöver bytas ut eller stängas ner för att uppnå våra intressenters säkerhetskrav?
Förslag på vägledning
Vilka olika alternativ är möjliga? I syfte att senare besluta om de långsiktigt mest säkerhetshöjande och kostnadseffektiva
Vilka nätverk, it-system och IT-arkitektkoncept innebär betydande risker för verksamheten?
Var i verksamheten finns kritiska personberoenden? Är det egenanställd personal eller konsulter?
Förebyggande icke-funktionella krav
Kort- och långsiktig verksamhetsstrategi för robusthet
Ansvarig: Kort- och långsiktig verksamhetsstrategi för robusthet
Plan- och kartläggning
Identifiera och dokumentera kritiska tillgångar och beroenden.
Sammanställ prioriterade riskområden, åtgärdsförslag och förslag till riskacceptans från arbetsströmen Förebyggande funktionella krav (2).
Sammanställ pågående, respektive föreslagna, säkerhetshöjande åtgärder inom verksamheten.
Sammanställ pågående, respektive föreslagna, säkerhetshöjande åtgärder inom verksamheten.
Beslutspunkter från sammanställd data
Vilken tillgångar och risker kan inte accepteras för er- eller era intressenters verksamhet?
Exempel på frågor att hantera
Har vår verksamhet förmåga att hantera behovet av förebyggande- och reaktivt säkerhetsarbete?
Har verksamhetens befintliga IT- och nätverkstillgångar förutsättningar att efterleva krav i bl.a. NIS2/CER och andra intressentkrav?
Reaktiva åtgärder
Att effektivt mildra konsekvenser och skyndsam återgång
Ansvarig: Centrala säkerhetsfunktioner
Plan- och kartläggning
Finns roller, ansvar och tydliga priroiteringar för krishantering dokumenterat? Har verksamhetens ansvariga förståelse för sitt ansvar?
Har den operationella verksamheten (både IT och stödfunktioner) förmåga att upptäcka avvikelser och angrepp? Finns automatiska tekniska verktyg införda (ex. IDS, IPS, EDR osv.)? Analyseras loggar för avvikelser?
Har verksamheten förmåga att hantera betydande incidenter (omfattning och tid), d.v.s. finns (och har) egna och avtalade leverantörer förmåga och kunskap att hantera de allvarligaste identifierade riskerna?
Finns rutiner för att strukturerat ta emot säkerhetsincidenter samt bedöma dess konsekvens? Finns rutiner för att utreda och åtgärda säkerhetsincidenter? Finns rutiner för att rapportera säkerhetsincidenter?
Kort- och långsiktiga åtgärder
Vilka kortsiktiga åtgärder skulle stärka verksamhetens förmåga att hantera inträffade händelser och kriser?
Vilka långsiktiga åtgärder är nödvändiga för verksamhetens förmåga att hantera inträffade händelser och kriser?
Exempel på frågor att hantera
Utgår vi från värsta scenarion som kan inträffa, eller dimensionerar vi endast åtgärder utifrån vad vi varit med om hittills?
Vilka kontinuitetsplaner behöver priorereras före andra (vilka risker är allvarligast)? Kan vi öva kontinuitetsplanen och dess effekter?
Vad har vi lärt oss av tidigare inträffade incidenter?
Vid inträffade säkerhetsincidenter behövs ofta externa IT-säkerhetsspecialister, både för återställning och utredning. Har vår verksamhet till sådan extern kompetens?
Sammanfattning
NIS2 kommer sannolikt leda till ökade kostnader och längre utvecklingsprocesser. För vissa verksamheter kommer det innebära att tillkommande funktioner och förmågor behöver införas. För andra kommer det vara mer lönsamt och tidseffektivt att börja bygga på en ny nätverksinfrastruktur eller datacenterlösning för att fasa ut föråldrad teknik som är sårbar för digitala angrepp eller att dess tillgänglighet är opålitlig.
Ni som läst Tele2s säkerhetsblogg känner säkert igen att vi brukar prata om att hantera flera utmaningar med en lösning. Potentiellt finns det möjlighet till detta även här. Exempelvis innebär en transformation från egen datacentermiljö till ett privat datacenter hos en leverantör både minskade kostnader för it-drift, inköp och energikostnader. I samma transformation kan också egen personal frigöras, exempelvis för andra arbetsuppgifter eller effektiviseringar. Drift av datacenter köps förslagsvis som tjänst, där kapacitet skalas efter behov. Om man exempelvis ser ett ökat behov av lagringskapacitet först om 4 år, justeras detta upp om 4 år i leverantörens datacenter. Som beställare behöver man således inte köpa ”för stora” lagringsdiskar idag, eller slänga ut fungerande (men för små) servrar om 3,5 år. Resan från eget datacenter till privat datacenter hos en leverantör innebär också säkerställd förmåga och kompetens över tid, och det uppdraget övertar leverantören.
Slutligen påverkar förflyttningen också det finansiella resultatet. I stället för investeringstoppar och höga operationella kostnader har exemplet med privat datacenter hos en leverantör en löpande och förutsägbar kostnad, något som bland annat påverkar beställarens kassaflöde positivt.
För att summera exemplet ovan; att gå från ett eget datacenter som behöver omfattande modernisering (för att uppfylla NIS2-kraven för er eller era kunders verksamheter), leder transformationen till ett privat datacenter hos en leverantör till:
Säker datacentermiljö med förebyggande- och reaktiva skyddsåtgärder
Minskad klimatpåverkan, såväl för tillverkad utrustning som driftsrelaterade utsläpp
Frigöra intern it-kompetens till andra uppdrag eller effektiviseringar
Alltid dimensionerad för rätt kapacitet
Säkerställd kompetensförsörjning över tid
Förflyttning från hög finansiell investering till förutsägbar löpande kostnader (kapitalutgifter (CapEx) och driftkostnader (Opex)
Det här är ett exempel på hur it och företagsledning kan ta ansvar för flera förbättringar samtidigt. Ett tvingande NIS2-regelverk innebär då inte ”bara” högre säkerhet till osäker prislapp. NIS2 införandet blir i stället åtgärden som leder till sex positiva förbättringar för verksamheten.
Liknande lösningar finns såklart inom andra områden, exempelvis inom nätverk- och nätverkslösningar. SD-WAN är exempelvis en framtidssäkrad plattform för säkra och robusta nätverk.
Till vardags skapar Tele2 kundanpassade lösningar för enskilda verksamheters behov. Exempelvis inom kommunikationslösningar, kontaktcenter, interna och externa nätverk samt datacenter. Läs mer på länkarna ovan eller hör av dig till din närmaste Tele2-kontakt om du vill veta mer. Du är så klart också välkommen att kontakta mig om du vill veta mer om säkerhetsregelverken eller Tele2s lösningar.
Vänliga hälsningar
Martin Fransson
Säkerhetschef – Tele2 Företag
Hur kan vi hjälpa dig?
Tele2 Företag erbjuder anpassade nätverks- och säkerhetslösningar för stora och små företag. Låt oss tillsammans hitta rätt lösning för ditt företags behov. Läs mer om säkerhet för större verksamheter eller fyll i formuläret via knappen nedan så kontaktar vi dig.