2021-09-08

Hur går det för NIS2?

Vi är många som är nyfikna på hur det kommer att gå med det förslag till helt nytt NIS-direktiv som lades fram i julas.

Ryktet går...

Under sommaren sade "snacket på stan" att någonting skulle komma ut under Juli men än så länge har i alla fall jag fortfarande inte sett eller hört något konkret. (För dig som vill ha lite mer bakgrundsinformation har jag skrivit om detta tidigare på Atea-bloggen och i mitt eget nyhetsbrev #21 och #23.)

Några ledtrådar finns...

Det är inte helt trivialt att navigera EUs enorma informationsmängder och när man väl hittar ett intressant dokument är de sällan enkla att läsa heller... Men några ledtrådar har jag hittat och kan dela med mig av. Ett intressant brev från Europakommissionen till Europaparlamentet och Europeiska rådet berättar att man fick in 121 åsikter kring förslaget.

Men det senaste, och viktigaste, livstecknet som jag hittar är ett utkast till en sammanställning från Europaparlamentet på 59 sidor, utgivet den femte maj med en radda förslag till ändringar och tillägg. En snabb genomläsning gav kanske inga revolutionerande intryck men ändå några intressanta, och i mitt tycke riktigt vettiga, förslag till ändringar:

  1. Rapportering av säkerhetshändelser och hot som inte leder till en incident ska inte omfattas av rapporteringskravet. (Bra! Det hade blivit tufft att hantera den volymen...)
  2. Man får 72 timmar (istället för 24) på sig att rapportera säkerhetshändelser. (Väldigt klokt!)
  3. Man trycker på att det är lite för mycket fokus på krav och straff. Myndigheterna bör också ta en stöttande och uppmuntrande roll. (Wow!)
  4. Man trycker på att det är viktigt att undvika överlappande tillsyn från flera myndigheter. (Av praktisk erfarenhet håller jag definitivt med!)
  5. Root-servrarna i DNS undantas eftersom de sällan drivs av monetära syften. (Inte säker på att jag tycker detta är så smart...)
  6. Man vill se lagligt stöd för mer samarbete mellan polis och förebyggande myndigheter. (Jaaaa!!!)
  7. Det ursprungliga förslaget sa att ENISA skulle sätta upp en egen EU-motsvarighet till CVE-databasen för sårbarheter. Det tonas ner nu! (Otroligt vettigt!)

Den som väntar på något gott...

Det kan komma mer nyheter vilken dag som helst nu och det kan förstås visa sig att det vi trott så här långt är helt fel. Än så länge har i alla fall inte jag sett något som tyder på att NIS2 är på väg att köra i diket eller drabbas av några större ändringar på rakan fram mot målet...

Vi håller tummarna! Vet du mer får du väldigt gärna höra av dig!

Vem är Mats Karlsson Landré?

Mats Karlsson-Landré

Jag är till vardags säkerhetsrådgivare på Atea i Västerås. Det innebär att jag stöttar våra kunder kring alla former av säkerhetsutmaningar, exempelvis informationssäkerhet, IT-säkerhet, OT-säkerhet, fysiskt skydd, säkerhetsskydd och personalsäkerhet. 

Området OT-säkerhet har ett speciellt fokus där jag också ger ut ett nyhetsbrev på www.ot-säkerhet.se. OT står för Operational Technology vilket är ett syskon till IT, Information Technology. Med IT använder man teknik för att hantera information. Inom OT använder man liknande teknik men för "Operations", alltså att få fysiska saker under kontroll. Det kan exempelvis vara att styra maskiner i en fabrik, elproduktionen i ett kraftverk eller kemiska processer i ett raffinaderi. Inom IT är fokus ofta på att skydda hemligheter men inom OT blir det oftast viktigast att hålla en funktion tillgänglig och korrekt. Det innebär att säkerhetsarbetet behöver se väldigt annorlunda ut.

Du är välkommen att kontakta mig på mats.karlsson-landre@atea.se.

Mer läsning?

Den här artikeln är ett utdrag från mina nyhetsbrev kring OT-säkerhet som du hittar här.