Nyheter

Att säkra kritisk infrastruktur: Möta kraven från NIS2 och CER

Av Redaktionen |

Text: SystemHouseSolutions

Kritisk infrastruktur är ryggraden i det moderna samhället. Energiförsörjning, elnät, sjukhus, vattensystem, transportnät, datacenter och offentliga institutioner är alla avgörande för att upprätthålla viktiga samhällsfunktioner. När dessa system störs är konsekvenserna inte bara ekonomiska, utan även sociala och mänskliga.

Under senare år har hotbilden blivit alltmer komplex. Attacker är inte längre begränsade till fysiska intrång – de är lika sannolikt digitala, och ofta en kombination av båda. Denna utveckling ställer helt nya krav på hur organisationer skyddar sina anläggningar, anställda, information och processer.

Mot denna bakgrund har Europeiska unionen infört nya regelverk som avsevärt påverkar organisationer som verkar inom kritisk infrastruktur.

Ökat fokus på säkerhet genom nya EU-direktiv

Efter införandet av den allmänna dataskyddsförordningen (GDPR) sätter nu två nya EU-direktiv riktningen för säkerhet och motståndskraft i hela Europa: NIS2 och CER.

NIS2 – Nätverks- och informationssäkerhet

NIS2 (Nätverks- och informationssäkerhetsdirektivet, version 2) syftar till att etablera en konsekvent hög nivå av cybersäkerhet och informationssäkerhet i alla EU:s medlemsstater. Direktivet gäller organisationer som är verksamma inom sektorer av särskilt kritisk betydelse, såväl som andra kritiska sektorer som tillhandahåller tjänster inom EU.

CER – Motståndskraft hos kritiska enheter

CER-direktivet fokuserar på att stärka motståndskraften hos kritiska enheter. Det gäller organisationer och myndigheter som driver kritisk infrastruktur och tillhandahåller tjänster som är avgörande för samhällsfunktioner, ekonomisk verksamhet, allmän säkerhet, folkhälsa och miljöskydd.

Tillsammans understryker NIS2 och CER behovet av både digitala och fysiska säkerhetsåtgärder – och av en mer helhetssyn på riskhantering.

Säkerhetens framtid: individuella bedömningar och flexibla lösningar

En av de viktigaste principerna som introduceras genom de nya direktiven är kravet på individuella riskbedömningar. Det finns ingen enda, universell lösning som passar alla organisationer. Varje enhet måste bedöma sin egen säkerhetsställning och implementera nödvändiga åtgärder baserat på sina specifika risker, verksamheter och miljö.

Detta ställer höga krav på säkerhetssystem. De måste vara anpassningsbara till nuvarande krav samtidigt som de förblir skalbara och flexibla nog för att möta framtida regulatoriska och operativa behov. Kontinuerlig utveckling, regelbundna uppdateringar och långsiktigt stöd är inte längre valfritt – de är avgörande.

Säkerhetssystem som en central del av NIS2- och CER-efterlevnad

Elektroniska säkerhetssystem spelar en central roll för att uppnå efterlevnad av både NIS2 och CER. Vid utvärdering av en befintlig eller framtida säkerhetslösning bör flera viktiga områden beaktas som en del av organisationens individuella bedömning.

Åtkomstkontroll och detektering – var, när och hur?

Åtkomstkontroll är en grundläggande del av fysisk säkerhet. Organisationer bör identifiera vilka områden som kräver kontrollerad åtkomst och vilka som kan dra nytta av åtkomstkontroll även om det inte uttryckligen är obligatoriskt.

Moderna åtkomstlösningar erbjuder tydliga fördelar jämfört med traditionella nycklar. Åtkomstkort eller digitala inloggningsuppgifter kan återkallas omedelbart om de förloras, och behörigheter kan justeras när behoven förändras. I helt integrerade system kan åtkomstkontroll och intrångslarm hanteras via samma användarprofil, vilket minskar administrationen och förbättrar spårbarheten.

Organisationer bör också överväga:

Vilka autentiseringstekniker ger rätt balans mellan användbarhet och säkerhet
Om tvåfaktorsautentisering krävs för känsliga eller externt åtkomliga områden
Hur detekterings- och larmnivåer bör variera beroende på riskprofilen för olika zoner
Konfiguration, hantering och automatisering

Ett flexibelt säkerhetssystem bör stödja både individuell och gruppbaserad hantering av behörigheter, vilket säkerställer att endast rätt personer har tillgång till rätt områden vid rätt tidpunkt.

Tydliga systemöversikter och intuitiva användargränssnitt är avgörande för snabb respons och effektiv incidenthantering. Integration med andra system – som HR-plattformar – kan ytterligare förbättra säkerheten genom att automatisera uppgifter som användarprovisionering och avaktivering när anställda ansluter sig till eller lämnar organisationen.

Dokumentation och efterlevnad

Dokumentation är ett kritiskt element i reglerade miljöer. Säkerhetssystem måste tillhandahålla detaljerade loggar som täcker både omfattning och lagringstid som krävs enligt föreskrifter eller interna policyer.

Omfattande dokumentation stöder utredningar, revisioner och felsökning – och i vissa system kan konfigurations- och åtkomstdokumentation genereras automatiskt, vilket ger en tydlig översikt över vem som har tillgång till vad och när.

    Du kanske även vill läsa om det här

    Obehöriga i spårområdet: fortsatt växande problem i SL-trafiken

    Svevia kommer att utföra beläggningsarbeten i några av Stockholms mest komplexa trafikmiljöer

    Infrakraft vinner projekt i miljardklassen

    AI kräver mänsklig motvikt

    En fungerande järnväg kräver rätt förutsättningar

    Ostkustbanan rustas på allvar – dubbelspår i Sundsvall och Gävle stärker ryggraden längs Norrlandskusten

    DEBATT: ”Europa kan bli underleverantör i nästa fordonsera”

    Clean Motion ställer ut EVIG Memorial på BEFA Forum i Düsseldorf

    Szybex förvärvar Euro-Glas och stärker sin närvaro i södra Polen