Enligt SystemHouseSolutions AB innebär de nya EU-direktiven NIS2 och CER att verksamheter inom kritisk infrastruktur måste stärka skyddet mot både digitala och fysiska hot. Kraven omfattar bland annat individuella riskbedömningar, tydligare dokumentation, uppdaterade säkerhetssystem och lösningar som kan anpassas när riskbilden förändras.
Kritisk infrastruktur beskrivs som samhällets ryggrad. Energiförsörjning, elnät, sjukhus, vattenförsörjning, transportnät, datacenter och offentliga institutioner är alla exempel på verksamheter som behöver fungera för att viktiga samhällsfunktioner ska upprätthållas.
Högre krav på både digitalt och fysiskt skydd
SystemHouseSolutions AB skriver att hotbilden har blivit mer komplex de senaste åren. Angrepp är inte längre begränsade till fysiska intrång, utan kan lika gärna vara digitala eller en kombination av båda. Det ställer nya krav på hur organisationer skyddar anläggningar, personal, information och processer.
NIS2, Network and Information Security Directive, version 2, ska enligt texten höja nivån för cybersäkerhet och informationssäkerhet i EU:s medlemsländer. CER, Critical Entities Resilience, ska samtidigt stärka motståndskraften hos kritiska verksamheter och offentliga aktörer som levererar tjänster för samhällsfunktioner, ekonomisk aktivitet, allmän säkerhet, folkhälsa och miljöskydd.
Tillsammans innebär direktiven att säkerhetsarbetet behöver omfatta hela kedjan, från tekniska system till rutiner för drift och uppföljning.
Dokumentation och uppdateringar i fokus
Enligt SystemHouseSolutions AB är en av de viktigaste principerna att varje organisation måste göra en egen bedömning av vilka åtgärder som behövs. Det finns ingen lösning som passar alla, utan skyddet ska utgå från verksamhetens risker, verksamhet och miljö.
I texten lyfts särskilt accesskontroll, inbrottsdetektion, systemkonfiguration, loggning, testning och kontinuerliga uppdateringar som centrala delar av efterlevnaden. Säkerhetssystem behöver vara skalbara, flexibla och möjliga att administrera på ett tydligt sätt, samtidigt som de ger spårbarhet över vem som har tillgång till vad och när.
SystemHouseSolutions AB framhåller också att it-säkerhet och fysisk säkerhet hänger ihop. Säkerhetssystem som utvecklas löpande och uppdateras regelbundet beskrivs som viktiga för att hantera sårbarheter och behålla driftsäkerhet över tid.
Som exempel nämns systemet Integra, som enligt bolaget är utvecklat och tillverkat inom Europeiska unionen och avsett att stödja verksamheter inom kritisk infrastruktur.
– By making access control and detection, system configuration, documentation and IT security part of an individual security assessment, organisations can identify solutions that meet today’s requirements while remaining adaptable to future demands, säger SystemHouseSolutions AB.
