https://www.weop.se/wp-content/uploads/2021/04/lag.jpg
579
845
John Daniels
https://www.weop.se/wp-content/uploads/2017/01/Bild-weop-300x169.jpg
John Daniels2022-05-25 17:58:012022-07-15 10:41:15Struntade i säkerhetsskyddslagen – fick betala 7 miljonerEtt allt mer digitaliserat samhälle blir mer exponerat mot yttre hot. Vi vet att främmande underrättelsetjänst jobbar med att förbereda cybersabotage av kritisk infrastruktur. Med hotbilden kommer också lagkrav på säkerhetsåtgärder. Men hur bygger man egentligen ett effektivt NIS-skydd?
Sedan 2018 är NIS-direktivet lag i Sverige, mer känd som NIS-lagen. Lagen syftar till att höja lägstanivån på informationssäkerheten bland leverantörer av samhällsviktiga tjänster. Tillsammans med MSB:s och tillsynsmyndigheternas föreskrifter, råd och vägledningar bildar lagen en omfattande NIS-reglering.
I år 2021 släppte Energimyndigheten sina föreskrifter för energisektorn, och fler regler väntas från Post- och telestyrelsen samt Livsmedelsverket. Detta innebär att de allmänna bestämmelserna i lagen och MSB:s föreskrift (2018:8) om informationssäkerhet blir mer detaljerade och mätbara – det är med andra ord dags att bygga ett ordentligt NIS-skydd.
Precis som med säkerhetsskydd, börjar NIS-skyddet med att identifiera de skyddsvärda tillgångarna – i detta fall nätverk och informationssystem som levererar samhällsviktig tjänst. Det är såklart den samhällsviktiga tjänsten som ska skyddas, samtidigt handlar NIS-skyddet om själva tillhandahållandet av tjänsten, vilket ofta är beroende av nätverk och informationssystem.
Så vad innebär då ett NIS-skydd i praktiken?
Enligt lagen har leverantören tre skyldigheter att förhålla sig till: incidentrapportering, vidtagande av säkerhetsåtgärder och kontinuitetsarbete. Förutom det systematiska och riskbaserade informationssäkerhetsarbetet måste leverantören vidta åtgärder för att hantera hot, säkra kontinuitet och förebygga incidenter.
Informationssäkerhetsarbetet kan med fördel ta avstamp i ISO 27001-standarden. Den tillhandahåller en struktur för arbetet, men måste fyllas med innehåll. En inventering av klienter, applikationer och nätverkssegment, en relevant riskanalys, löpande omvärlds- och sårbarhetsbevakning, med mera.
En välrenommerad standard för säkerhet i industriella styrsystem, eller OT-system, är IEC 62443-serien. Metoden går ut på att kategorisera nätverket i säkerhetszoner, där den mest sårbara komponenten får styra zonens nivå på säkerhetskrav. Det förutsätter att man kartlagt och separerat, eller åtminstone avskärmat, olika segment av nätverket – till exempel mellan produktionsmiljön, SCADA-miljön och IT-miljön.
Utifrån detta byggs ett riskanpassat och konsekvensdrivet åtgärdspaket – de första grundbitarna i NIS-skyddet.
Intresserad? Kontakta oss, så berättar vi hur vi kan hjälpa till.
Fler nyheter
https://www.weop.se/wp-content/uploads/2021/04/lag.jpg
579
845
John Daniels
https://www.weop.se/wp-content/uploads/2017/01/Bild-weop-300x169.jpg
John Daniels2022-05-25 17:58:012022-07-15 10:41:15Struntade i säkerhetsskyddslagen – fick betala 7 miljoner
https://www.weop.se/wp-content/uploads/2022/05/20-nato-800x800-1.png
800
800
John Daniels
https://www.weop.se/wp-content/uploads/2017/01/Bild-weop-300x169.jpg
John Daniels2022-05-16 07:26:362022-05-19 20:01:37Denna vecka skärps gråzonen med svensk Natoansökan
https://www.weop.se/wp-content/uploads/2021/05/pexels-mati-mango-5952651-scaled.jpg
1709
2560
John Daniels
https://www.weop.se/wp-content/uploads/2017/01/Bild-weop-300x169.jpg
John Daniels2022-04-29 12:34:192022-05-19 20:02:31Ett engagerat webbinarium om säkerhetsprövningHur kan Weop hjälpa er?
Weop hjälper myndigheter och företag som har höga säkerhetskrav.
Vill du veta mer om hur vi tillsammans kan göra din verksamhet och Sverige säkrare?
Kontakta oss här
