Kategori: konsulttjänster

link22  /  konsulttjänster
Open post

Förnyad kvalitetssäkring genom ISO 9001

link22  /  konsulttjänster

Förnyad kvalitetssäkring genom ISO 9001

Välkommen Peter Alvarsson

Kvalitet

Kvalitet är av högsta vikt för oss. Våra säkerhetsprodukter måste möta varje försök till intrång, utan undantag. När våra kunder utsätts för en attack har dem bara en chans att försvara sig. Vi måste lyckas varje gång för att våra kunder ska bibehålla sin effektivitet. När det gäller försvar är kvalitet att föredra över kvantitet. Våra produkter behöver hålla hög kvalitet och för att uppnå det tror vi att hela verksamheten måste hålla hög kvalitet. Värderingar sprider sig över person, domän och uppgift, vi värderar kvalitet. Det är därför självklart för oss att uppfylla kraven för ISO9001 som handlar om kvalitetssäkring av verksamheter och vi kan stolt meddela att vi just förnyat vår kvalitetscertifiering godkänd av DNV.

Vi ser fram emot att fortsätta leverera cybersäkerhet utan kompromiss.

Open post
sections consulting services

NIS2 Direktivet

link22  /  konsulttjänster

Vad är NIS och NIS2-direktivet?

Om NIS-direktivet

(The Directive on security of network and information systems)
NIS-direktivet syftar till att stärka EU-medlemsstaternas skyddsnivå gällande samhällskritisk infrastruktur. 

 

link22 och NIS

Varje organisation och företag måste förhålla sig till NIS på sitt sätt, det finns ingen one-size-fits-all-lösning. Det kan dessutom vara svårt att avgöra om man som organisation, myndighet eller företag överhuvudtaget påverkas av NIS. Vi på link22 har hjälpt myndigheter och organisationer med säkerhetsutmaningar i 16 år och kan vara behjälpliga på flera plan. Om ni är osäkra på hur ni påverkas av NIS föreslår vi att ni bokar en demo med oss där vi går igenom er situation och resonerar runt vilka åtgärder ni kan behöva ta för att möta ställda krav och säkra det skyddsvärda hos er.

 

Vad innebär direktiv i sammanhanget?

Att detta är ett direktiv och inte en lag innebär att det inkorporeras på olika vis i varje medlemsstat för att på ett naturligt sätt harmonisera med nationell lagstiftning. I Sverige blev NIS-direktivet verklighet den 1 augusti 2018 genom lagen om informationssäkerhet.

 

Varför finns NIS-direktivet?

NIS-direktivet togs fram för att skydda europeiska medborgare genom att höja säkerheten för samhällskritisk infrastruktur i medlemsstaterna. Detta specifikt genom att höja informationssäkerheten för samhällsviktiga tjänster.

 

Digitalisering bakom NIS

Hacker-attacker från kriminella ligor och nationsstater har ökat markant de senaste åren, i takt med digitalisering av samhället. Attackerna blir allt mer sofistikerade och motiven är inte bara anarkistiska eller ekonomiska utan också politiska. Cyberkriget är ett faktum. För att hålla upprätthålla samhällets viktigaste funktioner och fortsätta tjäna medborgarna finns det därför skäl att förebygga och förbereda för attacker.

 

NIS-direktivet riktas mot specifika sektorer

NIS-direktivet pekar ut sektorerna energi, hälso- och sjukvård, transport, finans, dricksvattenförsörjning och digital infrastruktur som samhällskritiska. Det är dessa sektorer som först bör ha ett förstärkt skydd.

Welcome Henrik Nilsson!

NIS-direktivet i praktiken

Direktivet innebär att de generella kraven på informationssäkerhet höjs. Det betyder att berörda verksamheter måste beakta person, process och teknologi i sitt arbete för höjd informationssäkerhet. Verksamheterna behöver riskklassificera sin information och sina system. De behöver förbereda sig på eventualiteter som konsekvenserna av en attack kan leda till och förbereda åtgärdsplaner för att höja sin motståndskraft. Kontinuerlig kunskapsinsamling genom incidentrapportering skall genomföras för ständigt ökad beredskap. Huvudsakligen förväntas man fokusera på verksamhetens nätverks- och informationssystem.

 

Att följa och ta hjälp av NIS-direktivet

NIS-direktivet är en god utgångspunkt för att genomföra värdefullt cybersäkerhetarbete. För att avgöra vilka åtgärder som är lämpliga behöver organisationen i fråga först kartläggas på en övergripande nivå. Vissa processer är särskilt viktiga för kärnfunktioner, några personer har arbetsuppgifter som gör dem sårbara för utpressning och delar av den tekniska infrastrukturen är mer sårbar än annan. Till detta bör en extern kartläggning göras för att specificera vilka cyberattacker som förekommer idag och vilka som förväntas komma i framtiden. Normalt är information som mest utsatt när den skickas mellan säkerhetsdomäner eller via nätverk. Att förstärka skyddet vid dataöverföring med datadioder, kontrasignering och kryptering är viktiga för robust informationssäkerhet. Att separera information för att höja säkerheten är en god ide, för att kunna göra det måste organisationen avgöra vilken information som är viktigare än annan. För att bibehålla effektivitet är det viktigt att avgöra vilken information som har vilken risknivå. 

 

NIS-direktivet och Sverige

I Sverige anammas NIS-direktivet genom lagen om informationssäkerhet. I den finns föreskrifter som tydliggör hur en verksamhet kan anpassas för att möta NIS-direktivet:

Systematiskt och riskbaserat informationssäkerhetsarbete

Det informationssäkerhetsarbete som bedrivs gällande informationshantering i nätverk och informationssystem som används för samhällsviktiga tjänster ska ske med stöd av standarderna SS-EN ISO/IEC 27001:2017 och SS-EN ISO/IEC 27002:2017, men ska även anpassas efter organisationen. När man identifierat de risker som finns ska man tydliggöra organisationens ansvar för arbetet med informationssäkerhet, se till att alla resurser finns för att kunna utföra arbetet, samt se till att arbetet anpassas och utvärderas.

Närmare krav på informationssäkerhetsarbetet

Målet med organisationens arbete med informationssäkerhet ska framgå i en policy. Man måste även ha ett dokumenterat arbetssätt för att exempelvis klassificera information, analysera risker och ta rimliga säkerhetsåtgärder. Det är även viktigt att utbilda medarbetarna och se till att de förstår hur arbetet ska skötas och vad deras roll är.

Särskilt om nätverk och informationssystem 

Självklart är det av stor vikt att de nätverk och informationssystem som används för samhällsviktiga tjänster uppfyller kraven för informationssäkerhet. Man ska även ha en gedigen incidenthantering för informationen i dessa system och en plan för hur incidenterna ska hanteras och hur verksamheten ska gå vidare efter en incident.

 

NIS-2 för att stärka NIS-direktivet

NIS-direktivet innefattar löpande granskning av direktivet i syfte att förstärka och anpassa i takt med omvärldsförändringar. Detta har lett till iteration två av direktivet som kallas NIS 2.

Welcome Henrik Nilsson!

 

Identifierade svagheter

  • Europeiska bolag har inte tillräcklig förmåga att försvara sig mot cyberattacker
  • Europeiska bolag har inte tillräcklig förmåga att upprätthålla sina verksamheter under cyberattacker
  • Europeiska bolag har inte tillräcklig förmåga att snabbt återgå till normal funktion efter en cyberattack
  • Vissa sektorer och stater är mycket starkare än andra, det finns tydliga svaga länkar i det europeiska digitala landskapet.
  • Förståelsen för hotbilden bland medlemsstater är låg
  • Det saknas gemensam krishantering rörande cyberattacker inom eu

 

Förstärkningar genom NIS 2

För att stärka NIS-direktivet har följande flera åtgärder specificerats, vi listar några av de viktigaste nedan:

  • Nya sektorer adderas
  • Höjda minimikrav på säkerhet och rapportering
  • Striktare tillsynsåtgärder för nationella myndigheter
  • Striktare efterlevnadskrav för nationella myndigheter
  • Administrativa viten har möjliggjorts
  • Ökat samarbete och ökad informationsdelning mellan medlemsstaternas myndigheter

 

Fler påverkas av NIS 2

NIS 2 inkluderar fler sektorer och fler företag och organisationer inom varje sektor. Det ursprungliga NIS-direktivet pekar ut sektorerna energi, hälso- och sjukvård, transport, finansmarknad, dricksvattenförsörjning och digital infrastruktur som samhällskritiska. I NIS 2 har man lagt till offentlig förvaltning, tillverkning av farmaceutiska produkter inklusive vaccin och kritiska medicintekniska produkter samt rymden.

Därtill påverkas även företag som rör avfallshantering, kemikalier, post- och budtjänster, livsmedel, motorfordon, tillverkning av andra medicinska apparater, datorer och elektronik, maskinutrustning, och digitala leverantörer.

I huvudsak påverka medelstora och stora företag inom dessa sektorer men även mindre företag kan påverkas beroende på företagets profil.

 

Link22 och NIS

Varje organisation och företag måste förhålla sig till NIS på sitt sätt, det finns ingen one-size-fits-all-lösning. Det kan dessutom vara svårt att avgöra om man som organisation, myndighet eller företag överhuvudtaget påverkas av NIS. Vi på link22 har hjälpt myndigheter och organisationer med säkerhetsutmaningar i 16 år och kan vara behjälpliga på flera plan. Om ni är osäkra på om ni påverkas av NIS föreslår vi att ni bokar en demo med oss där vi går igenom er situation och resonerar runt vilka åtgärder ni kan behöva ta för att möta ställda krav och säkra det skyddsvärda hos er.

Klicka här för att boka en demo/ett möte.

 

Scroll to top