Artikel

Er I klar til NIS2 direktivet?

Fra efteråret 2024 skal danske virksomheder leve op til de nye krav i NIS2 direktivet – den nye version af Net- og Informationssikkerhedsdirektivet.

Hvad er NIS2 direktivet?

Direktivet om sikkerhed i Net- og informationssikkerhedssystemer (NIS) i samfundskritiske sektorer var den første EU-lovgivning på cybersikkerhedsområdet. Direktivet regulerer virksomheder og myndigheder på cyber- og informationssikkerhedsområdet. NIS2 øger både krav og sanktioneringen af cybersikkerhed og skærper kravene til topledelsen.

EU flag

De nye minimumskrav vedrører

  • Politikker for risikoanalyse og informationssystemsikkerhed
  • Håndtering af hændelser (forebyggelse, opdagelse og reaktion på hændelser)
  • Driftskontinuitet, såsom backup-styring og reetablering efter en katastrofe, og krisestyring
  • Forsyningskædesikkerhed, herunder sikkerhedsrelaterede aspekter vedrørende forbindelserne mellem den enkelte enhed og dens leverandører eller tjenesteudbydere.
  • Sikkerhed i forbindelse med erhvervelse, udvikling og vedligeholdelse af net- og informationssystemer, herunder håndtering og offentliggørelse af sårbarheder
  • Politikker og procedurer til vurdering af effektiviteten af foranstaltninger til styring af cybersikkerhedsrisici
  • Grundlæggende cyberhygiejnepraksisser og cybersikkerhedsuddannelse
  • Politikker og procedurer vedrørende brug af kryptografi og, hvor det er relevant, kryptering
  • Personalesikkerhed, adgangskontrolpolitikker og forvaltning af aktiver
  • Brug af løsninger med multifaktorautentificering eller kontinuerlig autentificering, sikret tale-, video- og tekstkommunikation og sikrede nødkommunikationssystemer internt i enheden, hvor det er relevant.

Hvilke virksomheder er omfattet af NIS2 direktivet?

  • Fødevaresektoren
  • Spildevandssektoren
  • Affaldssektoren
  • Rumsektoren
  • Delsektorer i fremstillingsindustrien*

*producenter af fx lægemidler, medicinsk udstyr, kemikalier 

Allerede omfattede sektorer (NIS1):

  • Operatører af væsentlige tjenester, herunder energi, transport, finans, sundhed og drikkevand
  • Digitale tjenesteudbydere og digital infrastruktur, herunder cloud computing-tjenester, online markedspladser samt søgemaskiner
NIS2 direktivet

octoplant hjælper dig med at opfylde kravene i NIS2 direktivet:

Politikker

– for risikoanalyse og informationssystemsikkerhed

octoplant’s Threat Protection modul, giver virksomheden et værktøj som kan finde sårbarheder i deres produktionsmiljø og ydermere give en risk-score over sårbarheden.

Dette giver virksomheden et overblik over deres sårbarheder samt muligheden for at prioritere imellem kritiske og ikke-kritiske sårbarheder. octoplant’s Threat Protection modul er et effektivt værktøj til at udarbejde risikoanalyse for ens OT-miljø.

Håndtering af hændelser

– forebyggelse, opdagelse og reaktion på hændelser

octoplants Threat Protection modul sammenligner ens produktionskomponenter op imod CVE databasen, og derfor er det muligt at holde sig på forkant mod nye trusler. Automatisk backup- & sammenligning af komponenter sikrer at du fanger uautoriserede ændringer, og sikrer dig at du har en nylig backup, hvis der skulle ske noget med en af dine komponenter.

octoplant beskytter dit OT-miljø ved at inkludere forebyggende, opdagende samt reagerende tiltag på hændelser.

Driftskontinuitet

– såsom backup-styring og reetablering efter en katastrofe, og krisestyring

octoplant’s versionering & automatisk backup arbejdsgang hjælper med at genoprette driften, da du altid har en nylig tidligere version klar til at rulle ud.

Forsyningskædesikkerhed

– herunder sikkerhedsrelaterede aspekter vedrørende forbindelserne mellem den enkelte enhed og dens leverandører eller tjenesteydere såsom leverandører af datalagrings- og databehandlingstjenester eller forvaltede sikkerhedstjenester

I octoplant kan man lave brugerstyring helt ned til hver enkelt komponent. Det betyder at ansatte, eksterne konsulenter eller andre brugere af systemet, kun har adgang til de komponenter eller filer, som er relevante for dem. Derudover sikrer brugerstyringen, at det ikke er alle som kan tage data ud af – eller lægge ind i – systemet.

Ydermere er det muligt at tjekke filer/data ud af systemet vha. et leverandør check-ud, som sikrer at ændringshistorikken og dokumentationen bliver overholdt, også selvom det er en ekstern person som skal arbejde med virksomhedens komponenter. Dette øger sikkerheden for virksomhedens forsyningskæde, og gør det muligt at arbejde sikkert og effektivt sammen med enheder, som kan være vigtige for virksomhedens fortsatte produktion.

Sikkerhed

– i forbindelse med erhvervelse, udvikling og vedligeholdelse af net- og informationssystemer, herunder håndtering og offentliggørelse af sårbarheder

octoplant er et change management værktøj, som sikrer den nødvendige dokumentation, ved udvikling og vedligeholdelse af dit OT miljø, uagtet om du har eksterne leverandører. Sårbarhedsrapporter gør det ligeledes nemmere at offentliggøre samt håndtere sårbarheder.

Grundlæggende cyberhygiejnepraksisser og cybersikkerhedsuddannelse

Den arbejdsgang som følger med octoplant systemet, hjælper brugerne med at arbejde struktureret og ansvarligt da brugerne kan tvinges til at udfylde den rette dokumentation, når de laver ændringer.

Der er derfor styr på; hvem, hvad, hvor, hvornår og hvorfor. Det er således nemt at se, hvor tingene går galt og udvikle tiltag som kan forbedre arbejdsgangen. Derudover er det god Cyber hygiejne at have styr på alt sit udstyr, tilhørende programmer og regelmæssige backups. En anden vigtig brik i god cyber hygiejne er segmenteret brugeradgang, så man ved hvem der har adgang til hvad, og brugerne har derfor kun adgang til de komponenter de arbejder med.

Personalesikkerhed, adgangskontrolpolitikker og forvaltning af aktiver

Som nævnt ovenfor er octoplant indrettet med avanceret brugerstyring, som gør det muligt for virksomheden at have strenge ”Access Control Policies” det er også muligt at tilkoble octoplant til virksomhedens Active Directory. Derudover er systemet indrettet til at kunne have alle virksomhedens OT-komponenter i, hvilket også bidrager til overblik over alle virksomhedens OT assets, hvad der bliver ændret, og hvem der laver ændringerne.

WHITEPAPER - NIS2 direktivet
WHITEPAPER: Overblik over handlinger og løsninger til det nye EU-direktiv

Læs om de krav I, som virksomhed, skal leve op til og implementere for at være kompliante.

Vil du høre mere om hvordan octoplant kan hjælpe jer med at blive klar til NIS2?

Kontakt os for en uforpligtende snak!

NIS2 compliant

NIS2 direktivet

Udfyld formularen nedenfor, så kontakter vi dig snarest.

Dette felt er til validering og bør ikke ændres.
Flere Insights