Så möjliggör en lösenordshanterare NIS2-efterlevnad

NIS2 är en utvidgning av EU:s tidigare cybersäkerhetsdirektiv, NIS, som antogs 2016 som en uppsättning krav för att säkra nätverks- och informationssystem i hela EU. NIS2 introducerades 2020 och trädde i kraft den 16 januari 2023.

Direktivet ålägger företag som identifieras som operatörer av samhällsviktiga tjänster att införa lämpliga åtgärder för att stärka cybersäkerheten och uppfylla rättsliga skyldigheter. NIS2 omfattar flera organisationer som inte ingick i det ursprungliga direktivet och utökar de berörda sektorerna från 7 till 15 för att skydda ännu fler viktiga områden. Listan över verksamheter som omfattas av NIS2 innefattar nu:

• Energi

• Hälso- och sjukvård

• Transport

• Finans

• Vattenförsörjning

• Digital infrastruktur

• Offentlig förvaltning

• Digitala leverantörer

• Posttjänster

• Avfallshantering

• Rymd

• Livsmedel

• Tillverkning

• Kemikalier

• Forskning

Dessutom skärper NIS2 kraven på att upprätthålla cybersäkerhet, inför striktare regler för incidentrapportering och innebär hårdare sanktioner vid bristande efterlevnad. Berörda myndigheter spelar en avgörande roll i att övervaka efterlevnaden och underlätta incidentrapportering inom samhällsviktiga sektorer i ekonomi och samhälle. Enligt den officiella webbplatsen tar en typisk NIS2-efterlevnadsprocess cirka 12 månader och omfattar säkerhetsbedömningar, revision, rådgivning och implementering av verktyg.

I takt med att efterlevnadskontrollen nu ökar i hela EU står organisationer under verklig press att visa upp sin cybersäkerhetsnivå. Artikel 21 har störst påverkan eftersom den rör säker hantering av inloggningsuppgifter, en bestämmelse som revisorer granskar noggrant.

Av alla 45 artiklar i NIS2-direktivet är artikel 21 den som de flesta organisationer kommer att lägga mest tid på. Den fastställer de minimikrav för riskhantering inom cybersäkerhet som alla väsentliga och viktiga entiteter måste införa och kunna visa i praktiken.

Direktivet använder ett medvetet språk: åtgärderna måste vara ”lämpliga och proportionerliga” utifrån entitetens storlek, riskexponering samt incidenters sannolikhet och allvarlighetsgrad. Det är resultatbaserat, inte föreskrivande.

Artikel 21.2 listar tio minimiåtgärder som varje organisation som omfattas måste införa:

• (a) Riskanalys och säkerhetspolicyer för informationssystem

• (b) Incidenthantering

• (c) Kontinuitet i verksamheten – hantering av säkerhetskopiering och katastrofåterställning

• (d) Säkerhet i leveranskedjan

• (e) Säkerhet vid anskaffning, utveckling och underhåll av nätverks- och informationssystem

• (f) Policyer för att bedöma cybersäkerhetsåtgärders effektivitet

• (g) Grundläggande cyberhygien och cybersäkerhetsutbildning

• (h) Policyer för kryptografi och kryptering

• (i) Personalsäkerhet, policyer för åtkomstkontroll och tillgångshantering

• (j) Multifaktorautentisering eller lösningar för kontinuerlig autentisering

Artikel 21 är resultatbaserad, vilket innebär att revisorer inte bara granskar policydokument utan verifierar om kontrollerna fungerar i praktiken och kan styrkas. Tre brister lyfts fram mest konsekvent:

• Saknad eller inkonsekvent tillämpad MFA

  Att ha en policy för multifaktorautentisering (MFA) är inte samma sak som att MFA tillämpas. Revisorer letar efter tillämpning på organisationsnivå, inte enskilda användares införande.

• Konton med för höga behörigheter

  Åtkomstkontroll enligt artikel 21.2 i förutsätter att principen om minsta möjliga behörighet tillämpas och dokumenteras.

• Ohanterade tjänsteinloggningsuppgifter

  API-nycklar, lösenord för tjänstekonton och delade inloggningsuppgifter som finns utanför alla hanterade system är ett återkommande revisionsfynd.

Den gemensamma nämnaren: revisorer kontrollerar om säkerhet hanteras som en upprepningsbar, påvisbar process.

Det största problemet med det ursprungliga NIS var att det var för brett, för vagt och saknade fungerande möjligheter till tillsyn.

Nu är sanktionerna vid bristande efterlevnad betydande: väsentliga entiteter kan få böter på upp till 10 miljoner euro eller 2 % av den globala årsomsättningen, medan viktiga entiteter kan få upp till 7 miljoner euro eller 1,4 %.

Under de första dagarna av covid började många företag i EU arbeta på distans, och det blev snabbt tydligt att det ursprungliga NIS-direktivet inte uppnådde sina uttalade mål.

Revisorer som granskar efterlevnad av artikel 21 läser inte policydokument isolerat. De letar efter bevis på att kontroller tillämpas, är konsekventa och dokumenterade i hela organisationen. De tre brister som oftast lyfts fram – inkonsekvent tillämpning av MFA, konton med för höga behörigheter och ohanterade autentiseringsuppgifter – är också de brister som en lösenordshanterare är bäst lämpad att åtgärda.

Bitwarden gör det möjligt för organisationer att kräva tvåstegsinloggning i hela organisationen genom policykontroller för företag. Bitwarden integreras också med Duo för centraliserad MFA-tillämpning och övervakning. Dessutom innehåller rapporter om valvets hälsa en rapport om inaktiv 2FA som lyfter fram autentiseringsuppgifter som lagrats utan en inkluderad TOTP-seed.

Rollbaserade åtkomstkontroller, behörigheter på samlingsnivå och policyer för användargrupper gör det möjligt för administratörer att tillämpa principen om minsta möjliga behörighet på varje autentiseringsuppgift i organisationen. Organisationsägare kan även ändra inställningar för samlingar för att begränsa administratörers åtkomst till delade autentiseringsuppgifter, så att inte ens förhöjda roller får full insyn i känsliga autentiseringsuppgifter.

Lösenord till tjänstekonton och delade autentiseringsuppgifter som finns i kalkylblad, e-posttrådar eller personliga valv är en blind fläck som revisorer särskilt letar efter. Bitwarden för in dem i en styrd och granskningsbar miljö där åtkomst kontrolleras, loggas och kan återkallas. Bitwarden Secrets Manager ger även centraliserad säkerhetskontroll över API-nycklar.

Händelseloggarna i Bitwardens administratörskonsol registrerar vem som har fått åtkomst till vilka autentiseringsuppgifter, när och varifrån. Integrationer med SIEM-verktyg eller användning av API-nycklar gör att dessa händelser kan tas in och bearbetas tillsammans med annan händelseövervakning i företagets infrastruktur.

Bitwarden krypterar data på klientsidan innan de lämnar användarens enhet. Nollkunskapsarkitekturen och den öppna källkoden innebär att krypteringsimplementeringen kan verifieras oberoende. Krypteringen är tydligt dokumenterad i Bitwardens säkerhetsrapport.

För organisationer med strikta krav på datalagring erbjuder Bitwarden en dedikerad molntjänst i EU och ett alternativ för egen hosting där data förblir helt inom den egna infrastrukturen.

Organisationer kan dela autentiseringsuppgifter med leverantörer via Bitwardens säkra delningsfunktioner i Bitwarden Send eller genom att använda RBAC och tillfälligt introducera en konsult. När en leverantörsrelation upphör återkallas åtkomsten via plattformen.

En lösenordshanterare stöder direkt en säkerhetskultur genom att göra starka, unika lösenord till det enklaste valet för varje användare. Dessutom får Bitwarden Enterprise-användare även ett kostnadsfritt familjekonto så att de kan tillämpa goda säkerhetsvanor även hemma.

Tillämpningen av NIS2 accelererar i hela EU, och artikel 21 sätter en tydlig ribba: kontroller måste implementeras, tillämpas och kunna styrkas. De organisationer som klarar en revisionsgranskning är de som kan visa tillsynsmyndigheter en dokumenterad och operativ säkerhetsställning, autentiseringsuppgift för autentiseringsuppgift.

Bitwarden ger organisationer båda delarna av det kravet. Policykontroller för företag tillämpar MFA, åtkomstbehörigheter och principen om minsta möjliga behörighet för varje användare. Händelseloggar i administratörskonsolen och SIEM-integrationer skapar den granskningslogg som visar att kontrollerna fungerar. Och som en plattform med öppen källkod, EU-moln och alternativ för egen hosting stöder Bitwarden EU-organisationers krav på datasuveränitet.

Efterlevnad behöver inte vara ett långt och dyrt infrastrukturprojekt. En lösenordshanterare är ett av de snabbaste sätten att åtgärda de brister i autentiseringsuppgifter som revisorer kontrollerar och att bygga upp den bevisning de kommer att be om att få se.

Kom igång med en kostnadsfri provperiod för Bitwarden Business idag.

Vad är NIS2?

NIS2 betonar processer för riskhantering inom cybersäkerhet, som är utformade för att kräva att företag inför åtgärder för att förebygga eller begränsa cybersäkerhetshot. Det omfattar risker och åtgärder kopplade till AI, inklusive cybersäkerhetstestning, dokumentation och strategier för riskbegränsning.

Vad är skillnaden mellan NIST och NIS2?

Till skillnad från NIS2 innehåller NIST Cyber Security Framework ingen praktiskt tillämpbar lista. Att använda ett NIST-specifikt ramverk för cybersäkerhetsresiliens kan hjälpa organisationer att förbereda sig för att effektivt följa informationssäkerhetsdirektivet.

Vad är NIS2:s genomförandeakt?

NIS2-direktivet omfattar nu medelstora och stora offentliga och privata entiteter inom fler kritiska sektorer för cyberresiliens.

Vad är NIS2 för nätverks- och informationssystem?

Som EU-omfattande lagstiftning betonar NIS2 processer för riskhantering inom cybersäkerhet som är utformade för att möta utmaningen från ett föränderligt hotlandskap. Utformningen kräver att företag inför åtgärder för att förebygga eller begränsa cybersäkerhetshot. Det omfattar risker och åtgärder kopplade till AI, inklusive cybersäkerhetstestning, dokumentation och strategier för riskbegränsning.

NIS2 omfattar många fler organisationer som inte ingick i det ursprungliga NIS-direktivet. Detta inkluderar leverantörer av samhällsviktiga tjänster inom kritiska sektorer som hälso- och sjukvård, energi och transport. Europeiska unionen strävar efter att harmonisera cybersäkerhetsåtgärder och praxis i alla medlemsstater.

Det skiljer också mellan väsentliga och viktiga entiteter när krav fastställs.