Under de senaste åren har vi sett flera regelverk som ska bidra till ökad säkerhet och tydligare ansvarsfördelning. EU har tagit täten med införandet av GDPR och snart är det dags för cybersäkerhetsdirektivet NIS2 som ska vara infört om mindre än ett år.
NIS2 är EU:s, om inte världens, hittills mest omfattande cybersäkerhetsdirektiv. Det är en vidareutveckling av en förordning som ursprungligen infördes 2016 för att skärpa kraven på riskhantering och rapportering av cybersäkerhetsincidenter. För verksamheter som inte följer reglerna väntar hårda straff. NIS2 ska införas i nationell lag senast den 17 oktober 2024.
NIS2 ska också göra att organisationer kan skydda sig bättre mot cyberattacker. Samtidigt är de strikta kraven avskräckande, särskilt för de sektorer och organisationer som inte tidigare varit tvungna att följa så stränga regler.
Till exempel har NIS2 mycket snäva tidsfrister för att rapportera cybersäkerhetsincidenter. Organisationer blir skyldiga att utfärda en första varning om en cybersäkerhetsincident inom 24 timmar. Sedan måste man komma med en mer detaljerad redogörelse inom 72 timmar – där ska också ingå en första bedömning av händelsens påverkan och sannolikhet för intrång. En slutlig rapport ska lämnas in efter en månad och visa vilka lärdomar som kan dras från tidigare händelser.
Med den nuvarande hotbilden är dessa tidsfrister nästan omöjliga att uppfylla om säkerhetsteam inte har rätt verktyg.
Den egna organisationen räcker inte till
När verksamheter står inför nya säkerhetskrav är den första reaktionen ofta att sätta in fler människor som ska ta sig an arbetet. Men även om det är viktigt att ha rätt kompetens på plats för att uppnå och upprätthålla regelefterlevnad är det inte en långsiktig eller hållbar lösning. Det finns helt enkelt inte tillräckligt med säkerhetsspecialister att tillgå. NIS2 kommer att förvärra den kompetensbristen ytterligare på grund av det stora antalet berörda organisationer. De företag som har råd att anställa stora säkerhetsteam kommer att suga upp all tillgänglig kompetens för att hantera kraven. Övriga verksamheter har små chanser att hävda sig i den konkurrensen.
Komplexiteten i multimolnmiljöer och molnbaserade leveranser lägger till ytterligare en utmaning för NIS2-efterlevnad. De förändrar dramatiskt sättet som säkerhetsteam behöver ta sig an arbetet med cybersäkerhet. Programvaruutveckling sker i dag kontinuerligt, med fler releaser och kortare testcykler för säkerhetsteamen. Som ett resultat är det mer sannolikt att man missar sårbarheter. Forskning har visat att endast 50 procent av CISO:er är helt säkra på att deras programvara har testats för sårbarheter innan den lanseras i produktion.
Automation kan snabbt ge en överblick
För att ha en chans att uppfylla kraven i NIS2 och skapa robusta funktioner för sårbarhets- och incidenthantering måste man optimera och automatisera säkerhetsanalyser och rapporteringsprocesser.
– I praktiken är det omöjligt att med manuella metoder leverera den detaljnivå och noggrannhet om cybersäkerhetsincidenter som NIS2 kräver inom de satta tidsramarna. Organisationer behöver realtidsdata om sin säkerhetsstatus och en helhetsvy över sin hybrid-, multimolnmiljö, säger Ben Todd, RVP Security Solutions, EMEA, Dynatrace.
– För att bedöma allvaret och följderna av olika incidenter måste man kunna kombinera säkerhetsarbetet med övervakningsdata och automatisera sårbarhetsanalyser. Med den kunskapen kan säkerhetsansvariga se vilka åtgärder som krävs och identifiera vilka system som har påverkats under en incident. Då kan organisationen också se hur man triagerar och löser problem, vilket hjälper dem att agera snabbt. Men för att samla in all den information som krävs inom tidsramen för NIS2, måste säkerhetsteam automatisera sina processer och generera rapporter och incidentmeddelanden, fortsätter Ben Todd.
Att gå längre än bara regelefterlevnad
Organisationer behöver också se hur de kan gå längre än att bara uppfylla NIS2-efterlevnad. I stället för att bara fokusera på att upptäcka och rapportera problem i produktionen bör de ha som mål att förebygga dem. Exempelvis genom att tidigarelägga valda tester och processer som gör säkerheten till en naturlig komponent i utvecklingslivscykeln för programvara.
Säkerhets- och utvecklingsteam kan samarbeta för att se till att programvaran i ett tidigt skede inte går vidare om inte båda teamen är övertygade om att den är säker. Automatiserade kvalitets- och säkerhetsfunktioner är ett bra sätt att ta bort den manuella arbetsinsatsen som vanligtvis krävs i den processen. Genom att kombinera dessa funktioner med övervakningsdata kan sårbarheter eller fel upptäckas automatiskt. Det ger utvecklarna en chans att lösa dem innan koden flyttas till nästa leveranssteg.
– Tidpunkten för införandet av NIS2 närmar sig snabbt och med de krav som ställs har organisationer inte råd att vara långsamma med att svara. Ansvariga myndigheter kommer med största sannolikhet bara att fortsatt skärpa cybersäkerheten. Företag behöver därför agera genom att se till att de har den överblick och de verktyg de behöver för att ligga steget före det nya regelverket, avslutar Ben Todd.
