Den digitala infrastruktursektorn står inför flera utmaningar när det gäller cybersäkerhet. Vissa avser den tekniska driften, andra till oss människor som hanterar systemen. Ransomware Attacks är naturligtvis ett stort hot som orsakar driftstopp och svårigheter att återställa systemen. Denna sektor är också starkt beroende av tredjepartsleverantörer för olika tjänster, och detta kan leda till ytterligare risker om dessa leverantörer saknar adekvata säkerhetsåtgärder. Säkerhet i försörjningskedjan är nyckeln.
Bristen på kompetens om cybersäkerhet och de höga kostnaderna för cybersäkerhetsåtgärder skapar betydande hinder för att säkra digital infrastruktur. Fysiska säkerhetssystem, som kameror och åtkomstkontroll, är nödvändiga för att skydda digital infrastruktur från komplexa fysiska attacker. Samtidigt ökar antalet Internet of Things-enheter (IoT) som används av operatörer och de enorma mängder data de genererar gör att attackytan ökar.
Den digitala infrastruktursektorn kommer att påverkas hårt av NIS2-direktivet, vilket påverkar alla operativa aspekter. Krävande uppgraderingar av fysiska säkerhetsåtgärder och bättre incidentrespons och återhämtningsplanering. Operatörer inom den digitala infrastruktursektorn kommer uppleva en ökad regulatorisk tillsyn, eftersom EU:s tillsynsmyndigheter vidtar åtgärder för att upprätthålla kraven i NIS2-direktivet och håller företag ansvariga för att skydda sina kritiska system och nätverk.
Utbildning i cybersäkerhet – en av 10 viktiga cyberhygienåtgärder
NIS2-direktivet kräver att den digitala infrastruktursektorn och andra 'essential and important entities' implementerar 10 grundläggande säkerhetsåtgärder för att ta itu med specifika former av troliga cyberhot.
- Riskbedömningar och säkerhetspolicyer för informationssystem.
- Policyer och förfaranden för att utvärdera effektiviteten av säkerhetsåtgärder.
- Policyer och förfaranden för användning av kryptografi.
- En plan för hantering av säkerhetsincidenter.
- Säkerhet kring upphandling av system och utveckling och drift av system.
- Säkerhetsrutiner för anställda med tillgång till känsliga eller viktiga uppgifter.
- En plan för att hantera affärsverksamheten under och efter en säkerhetsincident.
- Användningen av multifaktorautentisering.
- Säkerhet kring leverantörskedjor och relationen mellan företaget och direktleverantören.
- Cybersäkerhetsutbildning och en praktik för grundläggande datorhygien.
Cybersäkerhetsutbildning är inte bara "med på listan". Det är ett välkänt faktum att medvetenhetsträning är en viktig del i att skapa den organisatoriska säkerhetskultur som behövs för att organisationer ska kunna följa många av de andra säkerhetsåtgärderna som NIS2 har i uppdrag. Utan medvetenhetsträning året runt kommer många av de operativa procedurerna så småningom att misslyckas – på grund av mänskliga fel.
Våra nya uppdaterade versioner av Information Security Awareness-utbildningar riktar sig till alla anställda, chefer, ledningar och styrelser och är en del av att vara NIS2-kompatibel.
Vi erbjuder också en introduktion till NIS2 direktivet till alla våra kunder.
