NIS2-direktivet indfører strengere krav til cybersikkerhed for virksomheder, der opererer i EU, og direktivet har specifikt fokus på adgangskontrolspolitikker. En bredt funderet tilgang til identitetssikkerhed, vil hjælpe din organisation med at leve op til NIS2-kravene.
NIS2 – en forkortelse for Net og Informationssikkerhed version 2 – trådte i kraft i januar 2023, og vil få betydelige konsekvenser for virksomheder, der opererer i EU. Direktivet udvider anvendelsesområdet for det oprindelige NIS-direktiv og indfører strengere krav til virksomheder med hensyn til cybersikkerhed og rapportering af hændelser. Målet er at sikre et højt, ensartet niveau af cyber- og informationssikkerhed på tværs af alle EU-medlemslande.
Et område, som NIS2 fokuserer på, er adgangsstyring. Adgangsstyring er afgørende for at beskytte netværk og systemer mod cyberangreb, da disciplinen sikrer, at kun autoriserede brugere har adgang til følsomme oplysninger og ressourcer.
Artikel 5 i NIS2-direktivet beskriver de sikkerhedskrav, som udbydere af digitale tjenester skal overholde, og den indeholder netop specifikke bestemmelser vedrørende adgangsstyring.
Direktivet fastslår, at udbydere af digitale tjenester skal træffe passende tekniske og organisatoriske foranstaltninger til at håndtere de risici, der er forbundet med sikkerheden i deres net- og informationssystemer, herunder foranstaltninger til at sikre håndteringen af adgange og brugeridentiteter.
Disse foranstaltninger bør omfatte, at adgangsrettigheder udelukkende gives til autoriserede personer, og at risikoen for databrud begrænses ved regelmæssigt at gennemgå og teste adgangsrettigheder og adgangstilladelser. Det indebærer også vigtigheden af at være i stand til at opdage – og ikke mindst i stand til at reagere på – sikkerhedshændelser og brud på adgangsrettigheder.
At implementere adgangsstyringspolitikker og -kontroller er dog ikke nok i sig selv. Der skal mere til, og det bedste du kan gøre for at forberede dig på NIS2 er at implementere et framework for identitetssikkerhed i organisationen.
Det betyder, at der skal implementeres et holistisk blik på brugeridentiteter på tværs af organisationen – og, at der skal implementeres foranstaltninger til at beskytte brugeridentiteterne mod cybertrusler.
Og hvorfor er det?
Fordi netop det bl.a. beskytter organisationen mod insidertrusler og dermed mod cyberangreb.
En af de største trusler mod organisationer kommer fra såkaldte insidere. Definitionen på en insider er, at vedkommende har adgang til organisationens følsomme systemer og data, og kan dermed dække over både interne medarbejdere og tredjepartsleverandører. Det gør organisationen sårbar overfor insideres menneskelige fejl, men insidere er i lige så høj grad et populært mål for cyberkriminelle.
I løbet af de sidste år er insidertruslen kun blev været. Ifølge Ponemon Institute’s 2022 Cost of Insider Threats Global Report, er antallet af sikkerhedsepisoder, der involverede insidere næsten fordoblet siden 2020.
Identitetssikkerhed som fundament for sikkerhedsstrategien hjælper med at beskytte organisationen mod insidertrusler gennem adgangskontrol, overvågning af brugeraktivitet og registrering af usædvanlig adfærd.
Netop det er afgørende for at mindske risikoen for cyberangreb.
At implementere identitetssikkerhed i organisationens sikkerhedsstrategi kræver teknisk ekspertise, men handler i lige så høj grad om at kende forretningen. I praksis kan du følge nedenstående trin:
På denne måde vil din organisation være markant bedre rustet til både at imødegå insidertrusler og beskytte mod cyberangreb samtidig med, at organisationen overholder kravene i NIS2-direktivet.