Är din organisation redo för NIS2?

Kvinna som sitter med laptop i ett möte med andra personer

NIS2 kommer att utgöra en del av den förpliktande nationella lagstiftningen senast den 17 oktober 2024. Men vad innebär det? Det kommer du förhoppningsvis ha svar på efter att ha läst detta.

Vad är NIS2?

Det fullständiga namnet för NIS2 är Direktiv om åtgärder för en hög gemensam cybersäkerhetsnivå i hela unionen. Med beaktande av världsläget och konstant ökande och mer avancerade cyberattacker så lanseras direktivet för att stärka cybersäkerheten för EU:s kritiska infrastruktur. Det ersätter NIS-direktivet som infördes 2016. Förkortningen NIS står för Network and Information Security. Att det är ett EU-direktiv innebär att medlemsländerna måste införliva det i sin nationella lagstiftning. Det är ett minimiharmoniseringsdirektiv, vilket innebär att de kriterier som ställs i direktivet måste uppfyllas men att länder är fria att stifta strängare lagar, och Finland ska alltså ha den lagstiftningen på plats senast den 17 oktober 2024. Mer information om hur propositionen framskrider finns på Statsrådets webbplats, men i skrivande stund finns inte mycket konkret information där. För ett företag eller en myndighet som inte redan har ett starkt cyberförsvar så är det en mycket kort tid att få allt på plats, men direktivet omfattar inte alla organisationer.

Vilka organisationer omfattas av NIS2?

De organisationer som omfattas av NIS2 listas i två bilagor till direktivet; högkritiska sektorer och andra kritiska sektorer. Grundregeln är att direktivet berör organisationer (eller som de benämns i direktivet; entiteter) som sysselsätter minst 50 personer eller vars omsättning eller balansomslutning överstiger 10 miljoner euro per år. Observera att det dock finns vissa organisationer som omfattas av direktivet oavsett antal anställda eller omsättning.

Tabell över organisationer som omfattas av NIS2.

Om din organisation faller under någon av de listade sektionerna och även överskrider någon av de ovan nämnda gränserna anställda eller omsättning föreslår jag att du ännu kontrollerar direktivets bilagor i slutet av dokumentet, som närmare definierar i mer detalj vilka sorters organisationer som berörs.

Vad är skillnaden mellan högkritiska och andra kritiska sektorer?

Organisationer inom båda sektorer kommer att behöva uppfylla samma krav. Den stora skillnaden är att staten kommer att vara skyldig att proaktivt övervaka organisationer i högkritiska sektorer, medan myndigheterna involveras i de andra sektorerna först då en betydande cyberincident inträffat.

Vilka organisationer omfattas av NIS2 oavsett antal anställda eller omsättning?

Följande organisationer omfattas:

Lista över organisationer som omfattas oberoende av antal anställda

Om din organisation verkar omfattas av listan ovan föreslår jag att du ännu dubbelkollar NIS2 artikel 2 som förutom ovanstående lista t.ex. innehåller undantag för sådana organisationer som upprätthåller nationell säkerhet, allmän säkerhet, försvar och brottsbekämpning.

Kan jag bortse från NIS2 om min organisation inte faller under definitionerna ovan? (Svar: Nej)

Saken är den att ett av kriterierna som organisationerna ovan måste uppfylla är säkerhet i leveranskedjan, så om din organisation är underleverantör till någon som omfattas av NIS2 eller har underleverantörer som omfattas av direktivet, så kan de komma att behöva ställa krav på din organisations cybersäkerhet för att själva uppfylla kraven. Kontrollera därför situationen med era samarbetsorganisationer för att säkra ert fortsatta samarbete.

Vad måste jag göra om min organisation omfattas av NIS2?

Följande åtgärder måste vara utförda då den nationella lagstiftningen träder i kraft, alltså senast den 17 oktober 2024. Då kraven kommer innebära väldigt mycket ändringar och höga kostnader för många organisationer så kan det tänkas att staten och EU ser lite mellan fingrarna i början, men det finns inga garantier.

Lista över åtgärder som måste utföras innan nationell lagstiftning träder i kraft.

Förutom att utföra dessa åtgärder kommer även organisationerna att ha en skyldighet att anmäla betydande cybersäkerhetsincidenter till berörda myndigheter. En förhandsvarning ska utan dröjsmål, senast inom 24 timmar lämnas in och en incidentanmälan ska lämnas in inom 72 timmar, då man närmare hunnit analysera det skedda och inom en månad ska man avlägga en utförlig slutrapport.

Vad händer om min organisation inte lever upp till kraven i NIS2?

EU är inte i första hand ute efter att straffa, utan att höja nivån på cybersäkerheten, men direktivet stipulerar sanktionsavgifter som ska vara "effektiva, proportionella och avskräckande". För organisationer som benämns väsentliga (i princip de i de högkritiska sektorerna) är sanktionsavgiften max 10 miljoner euro eller 2% av årsomsättningen, vilken som är högst medan sanktionsavgiften för resten av organisationerna (som benämns som "viktiga") är 7 miljoner euro eller 1,4% av årsomsättningen, vilken som är högst.

Adamant kan hjälpa din organisation att uppfylla NIS2

Om din organisation benämns som väsentlig eller viktig enligt NIS2 så kan det vara många pusselbitar som måste falla på plats inom mindre än ett år. Det kan kännas som ett övermäktigt projekt men Adamant kan hjälpa dig med delar av det eller finnas som ett stöd från början till slut, och även fortlöpande efter att din organisation uppnår kriterierna. Har du frågor eller funderingar om NIS2 eller var du ska börja så får du gärna höra av dig, så kan vi ta ett möte och se var ni står och hur ni kommer vidare.

 

 

Två saker jag skulle göra innan jag ger en ny dator till mitt barn

Litet barn med hörlurar som ser på en laptop

Det finns en hel del på Internet idag som ett barn mår bättre av att inte ha tillgång till. Som förälder kan det vara svårt att ha koll på vad barnen gör på nätet och det kan också vara svårt att göra tydliga gränsdragningar och försäkra sig om att de inte överskrids.

Om jag som förälder köpte en dator till ett barn idag så finns det två saker jag skulle göra innan jag överlämnade datorn.

Skapa ett skilt konto för barnet på datorn

Det många kanske inte vet eller tänker på är att det användarkonto som finns på en dator när man köper den är ett administratörskonto. Det innebär att användaren kan installera vilka program som helst och göra vilka ändringar i konfigurationen som helst. Av den orsaken skulle jag använda det kontot till ett föräldrakonto och skapa ett skilt konto för barnet. Det innebär att om barnet vill installera ett nytt program eller göra ändringar i till exempel nätverkskonfigurationer, så måste en förälder skriva in sitt lösenord för att ändringen ska kunna göras.

Ett fönster som begär inmatning av lösenordInställningar i Windows 11

För att snabbt komma igång kan man välja "Andra användare" och sedan "Jag har inte den här personens inloggningsinformation" och "Lägg till en användare utan ett Microsoft-konto" för att skapa ett lokalt konto direkt på datorn. Annars kan man även skapa en epostadress och Microsoft-konto åt barnet. Man kan även välja att lägga till barnet som en familjemedlem via (Alt. 3). Det är ett lite mer komplicerat alternativ, där man skapar ett familjekonto där man kan ansluta fler medlemmar, och man har sedan möjlighet att t.ex. få information om vad barnet gör på datorn eller begränsa appar och skärmtid.

Ställ in en DNS-server som blockerar skadligt innehåll

Då du skriver in en webbadress i din webbläsare så sänds förfrågan till en DNS-server som skickar den vidare till den server där webbsidan finns. DNS-servern som används i din dator är antagligen en som din Internetleverantör tillhandahåller. Det finns dock andra DNS-servrar som man kan välja att använda. Vissa har en specifik funktion att de blockerar olika sorters oönskade adresser.

Det finns som flera olika DNS-servrar att välja mellan, men den jag skulle välja för ett barn är CleanBrowsing Family Filter. Den blockerar porr och annat explicit innehåll, och även sådana webbplatser som Reddit och Imgur där sådant material ofta kan förekomma. Den blockerar också sådana webbplatser som är kända för att innehålla malware och phishing-sidor.

För att ändra DNS-server behöver du gå in i nätverksinställningarna medan du är inloggad på ditt barns konto.

Nätverksinställningar i Windows 11

Välj det sätt som datorn ansluter till Internet med. Ethernet är kabelanslutning. Om datorn kommer att ansluta till Internet både med Wi-Fi och kabel så är det viktigt att man ställer in DNS-servern för båda. För Ethernet så ser man DNS-inställningarna då man klickar på (3). För Wi-Fi måste man ännu välja "Maskinvaruegenskaper". Sedan väljer man manuell DNS-inställning och serveradresserna för CleanBrowsing Family Filter är 

IP4:

  • 185.228.168.168
  • 185.228.169.168

IP6:

  • 2a0d:2a00:1::
  • 2a0d:2a00:2::

Kontrollera att opassliga webbplatser blockeras efter att du sparat inställningarna.

Efter att du gjort dessa två ändringar på ditt barns dator så är ditt barn mycket säkrare på nätet och kan inte installera program eller ändra nätverksinställningar utan ditt godkännande. Har du tankar eller frågor om detta eller angående hur man säkrar ett barns dator får du gärna höra av dej i kommentarerna. Känner du att du skulle vilja säkra ditt barns dator men inte vill eller kan sätta dig in i det själv så kan Adamant erbjuda den tjänsten till ett förmånligt pris.