Del 2 av 3
Pratet om NIS (och snart NIS2) är det nog inte många som har missat. Men vad innebär egentligen NIS för verksamheter med OT-system? Och vilka andra lagar finns det som ställer krav på verksamheters säkerhetsarbete?
Den nuvarande svenska NIS-regleringen, och kommande NIS2, syftar till att stödja verksamheter till att uppnå en gemensam hög nivå på säkerhet i de nätverk och informationssystem som stödjer våra samhällsviktiga funktioner. NIS2 omfattar primärt ”väsentliga entiteter” så som energi, dricksvatten och transport, men även ”viktiga entiteter” så som tillverkning och avfallshantering. Verksamheter inom dessa områden har oftast både IT- och OT-system och lagkraven behöver därmed implementeras även för den mer operationella verksamheten.
Det är viktigt att beakta den skillnad som finns mellan dagens IT-system och de mer traditionella OT-systemen. NIS2 ställer krav på åtgärder som driftskontinuitet, kryptering och autentisering. Implementationen av dessa åtgärder kan se olika ut beroende på typ av system. För just OT-system behöver man ha andra aspekter i åtanke då det mest kritiska är att systemet är tillgängligt och/eller har riktiga data, jämfört med de mer traditionella IT-systemen där konfidentialitet oftast har högst prioritet. För mer vägledning kring NIS2 har vi en artikelserie i fyra delar om direktivet som hittas här.
Sedan har vi säkerhetsskyddslagen samt dess förordning som gäller för alla som till någon del bedriver säkerhetskänslig verksamhet i Sverige. Säkerhetsskyddslagen står över NIS-direktivet och gäller för hela verksamheten eller de verksamhetsprocesser som är av betydelse för Sveriges säkerhet. NIS-direktivet gäller för övriga verksamhetsprocesser som står utanför säkerhetsskydd. Säkerhetsskyddslagen ställer krav på bland annat att en säkerhetsskyddsanalys utförs som vidare kravställer på det åtgärdsarbete som verksamhetens behöver göra, vilket exempelvis inkluderar hantering av säkerhetsskyddsklassificerade uppgifter.
Något att också hålla koll på är Cyber Resilience Act, CRA, som är en EU-förordning vilket innebär att den automatiskt blir bindande i hela EU och att dess krav gäller på alla medlemsländer. CRA ställer tillverkare av konsumentprodukter (vilka ofta har OT-system) med digitala komponenter och appliceras på produkternas hela livslängd. Förordningen syftar till att öka medlemsländernas säkerhet och motståndskraft mot cyberattacker genom definierade krav och bibehållande av en god bashygien för cybersäkerhet.
OT börjar alltså bli mer och mer reglerat och få samma krav på sig som IT, men släpar ofta efter på grund av större utmaningar med att anpassa dessa typer av system mot dagens och framtidens krav. Många verksamheter har idag ett ledningssystem för informationssäkerhet (LIS) på plats som hjälper till att hantera nuvarande och kommande lagkrav. De verksamheter som inte har ett LIS på plats får det däremot svårare att hantera regulatoriska krav eftersom det saknas ett strukturerat säkerhetsarbete som hanterar de krav som finns idag och de krav som kommer komma från lagar och förordningar i framtiden.
Omegapoint har experter som kan hjälpa din verksamhet med regelefterlevnad och säkerställa uppfyllnad av lagkrav. Kontakta oss om du vill veta mer om hur vi kan hjälpa just er.
I nästa del som är den sista delen av denna miniserie går vi igenom skillnaden mellan OT och IT samt ger förslag på några tekniska säkerhetsåtgärder att implementera.
Författare: Chanelle Kero, OT-/Informationssäkerhetskonsult
Har du missat del 1? Läs den här
Vill du veta mer om CRA? Läs här