Nya EU-direktiv som utökar omfattningen av NIS (The Network and Information Security Directive) och skärper sanktioner, ökar incitamenten för organisationer att se över säkerheten kring sina samhällskritiska system. Inom två år behöver berörda myndigheter och företag ha vidtagit åtgärder då de nya direktiven blir lag.
Hälso- och sjukvårdens åtgärder för ursprungliga NIS räcker inte då nya sektorer som t.ex ”Tillverkning” nu inkluderas
Det senaste året har antalet IT-angrepp ökat inom EU, och krisberedskap har fått större uppmärksamhet. För att säkra den inre marknaden och upprätthålla resiliens räcker inte längre det ursprungliga NIS-direktivet som antogs 2016. EU har nu därför antagit det utökade direktivet NIS 2. För svensk del omfattar detta de flesta organisationer som levererar samhällsviktiga tjänster.
NIS 2 inkluderar fler branscher än tidigare, inklusive underleverantörer, och konsekvenserna vid regelbrott kan bli markant allvarligare, både ur sanktions- och ledningsperspektiv. Relaterat till hälso- och sjukvårdssektorn så har bland annat den nya sektorn ”Tillverkning” tillkommit, vilket inkluderar medicintekniska produkter (inklusive in vitro-diagnostik). Detta gör att tidigare åtgärder för efterlevnad av ursprungliga NIS inte kommer räcka för att uppfylla de nya kraven när NIS 2 träder i kraft under 2024. Således behöver regioner och andra aktörer inom hälsa och sjukvård ha gjort nödvändiga förberedelser för att undvika sanktioner och stärka sin IT-säkerhet.
Omfattande helhetsanalys i tre steg
För att efterleva NIS 2 erbjuder BearingPoint en helhetsanalys kring verksamheten som ämnar identifiera och mitigera risker och hot mot dess kontinuitet. Med en risk- och konsekvensanalys avgörs först vilka system som omfattas av NIS 2. Därefter etableras incidenthantering samt krishantering för de aktuella systemen.
1. Risk- och konsekvensanalys
Det första steget är att genomföra en risk- och konsekvensanalys för att identifiera verksamhetskritiska system och vilka risker som kan drabba dessa. Det kan innebära attacker som slår mot tillgänglighet, riktighet och autenticitet av information i verksamhetens egna system, men också på värdekedjan via leverantörer av exempelvis lagringstjänster, diagnostikprodukter eller läkemedelsdatabaser. Från analysen genereras en lista på risker och möjliga konsekvenser från attacker på verksamhetskritiska system, där åtgärder för riskerna sätts i proportion till konsekvensens relevans och påverkan.
2. Proaktiv incidenthantering
När risker och konsekvenser har identifierats behöver aktörer inom hälso- och sjukvård fastställa en organisation, och utforma resurseffektiva rutiner för att förhindra, upptäcka och åtgärda eventuella attacker på verksamhetskritiska system. Rutiner sträcker sig från förberedande aktiviteter såsom utbildning av anställda i medvetenhet kring IT-säkerhet till standardiserad rapportering av attacker till IVO. Med en designerad organisation för IT-säkerhet och fastställda rutiner säkerställs långsiktig efterlevnad av NIS 2 och därmed undviks sanktionsavgifter vid tillsyn eller efter eventuella angrepp.
3. Krishantering för operativ kontinuitet
Vid en incident måste en operativ kontinuitet säkerställas för att upprätthålla den kritiska samhällstjänsten. Detta innefattar många olika aspekter där en holistisk approach, som är anpassad efter de verksamhetskritiska systemen, underlättar för att kunna fortsätta den operativa verksamheten även efter ett eventuellt angrepp. Innebörden för en aktör inom hälso- och sjukvård kan vara allt från att ha dieselaggregat på plats för att säkra eltillförseln till lokal IT-infrastruktur, till att ha upprättat manuella rutiner som komplement till de digitala eller automatiserade som beror av tillgängliga system.
En beprövad, robust och pragmatisk approach som omfattar hela verksamheten
BearingPoint erbjuder en pragmatisk approach till efterlevnad av NIS 2 som analyserar hela verksamheten. Detta innebär att även se utanför IT-säkerheten genom att identifiera problemområden genom hela värdekedjan med leverantörer. Med detta synsätt ökar robustheten och IT-säkerheten genom hela organisationen, där man säkerställer efterlevnad av NIS 2-direktivet, undviker eventuella sanktionsavgifter och får en operativ kontinuitet i sin verksamhet.
Redan 2018 genomförde BearingPoint en genomlysning inför NIS för sjukhus inom en av Sveriges största regioner, och vi har den expertkunskap inom verksamhetsanalys och IT-säkerhet som krävs för att förbereda organisationer inför det nya NIS 2-direktivet.
