Refleksjoner 18.09.2024

NIS2 forplikter og beskytter

NIS2-direktivet er et nytt EU-omfattende rettslig rammeverk som regulerer og styrker den generelle informasjonssikkerheten. Det gir bedriftsbeslutningstakere både rett og plikt til å på en omfattende måte utvikle og forbedre informasjonssikkerheten gjennom ulike tiltak, som risikovurderinger, policyer for informasjonsadgang, hendelseshåndtering og beskyttelsestiltak i forsyningskjeden.

NIS2-direktivet er særlig viktig for selskaper i energisektoren, som leverer offentlige tjenester og er en del av den kritiske infrastrukturen, noe som gjør dem til potensielle mål for cyberangrep. Energisystemet består av komplekse nettverk med flere aktører, noe som gjør det sårbart for ulike risikoer. Derfor er det avgjørende å beskytte hele forsyningskjeden, samt nettverk og informasjonssystemer.

Ulike beskyttelses- og kontrollmekanismer er viktige verktøy for å håndtere sikkerhetsrisikoer. Jeg vil spesielt understreke proaktiv beskyttelse, som forhindrer forsøk på å kompromittere konfidensialiteten, integriteten og tilgjengeligheten til kritisk informasjon. Proaktiv beskyttelse inkluderer prinsipper, prosesser, tilgangskontroller, autentisering, kryptering og brannmurer.

I din egen sikkerhetsvurdering, vær oppmerksom på følgende:

  • Hvilke kritiske informasjonssystemer og data har ditt selskap? Hvilke trusler og risikoer er rettet mot disse systemene og dataene?
  • Hvem har tilgang til selskapets data og databaser (ansatte, tredjeparter)?
  • Hvilke autentiseringsmetoder brukes i selskapet ditt, eller har dere noen?
  • Hva er selskapets policy for programvareoppdateringer? Bruker dere den nyeste versjonen av applikasjonene med omfattende støtte fra leverandøren?

Å beskytte mot cybertrusler handler ikke bare om tekniske løsninger, men krever også retningslinjer, prosedyrer, prosesser og bevissthet. Energibransjen, i likhet med andre viktige aktører, må være forberedt på ulike typer cyberrisikoer ved å bruke minst ti av sikkerhetstiltakene beskrevet i NIS2, som har som mål å beskytte nettverks- og informasjonssystemer og deres fysiske miljøer mot hendelser.

Aidon er klar for implementeringen av NIS2-direktivet. Vi forbereder en sjekkliste som hjelper deg med å vurdere selskapets NIS2-samsvar. Vi har stor fokus på cybersikkerhet og samarbeider gjerne med våre kunder og partnere innen dette området.

Harri Valkonen, informasjonssikkerhetsansvarlig
Aidon Oy