Blogginlägg -
Hög tid att förbereda sig för nya EU-direktiv
Säkerhetsområdet är idag högaktuellt för alla verksamheter. I mitt förra inlägg lyfte jag därför vikten av att prioritera frågorna kring IT-säkerhet hela vägen upp på ledningsnivå - något som kommer att bli extra tydligt nästa år när EU-direktiven GDPR och NIS träder i kraft. Dessa direktiv kommer i hög grad att påverka hur företag och organisationer kommer att kunna bedriva sitt IT-arbete.
GDPR kommer att ställa helt nya krav på IT-säkerheten när det gäller att garantera skyddet av persondata. NIS – Network and Information Security – syftar istället uteslutande till att stärka IT-säkerheten utifrån en ökad hotbild, inte minst i form av risken för omfattande cyberattacker mot samhällskritisk infrastruktur som vi har sett flera exempel på den senaste tiden.
De omfattande ransomware-attackerna med WannaCry som tog fart i början av maj visar hur sårbart samhället är. Under dessa attacker drabbades bland annat flera sjukhus av problem med inställda operationer. Ett annat exempel är den agressiva skadliga koden Fireball som drabbade 21% av svenska verksamheter genom att kapa webbläsare för att stjäla data och ladda ner ytterligare skadlig kod. Detta visar verkligen hur allvarliga konsekvenserna kan bli om man inte har ett fullgott skydd. De omfattande DDoS-attackerna som riktades mot flera svenska mediehus i mars förra året är ytterligare ett exempel. Media fyller en viktig funktion och måste kunna upprätthålla sin rapportering även vid svåra förhållanden – men tyvärr visar attackerna i fjol att säkerheten även brister på denna front.
Från och med maj 2018 kommer dock samtliga företag och organisationer som bedriver samhällsviktig verksamhet, såsom el- och vattenförsörjning, sjukvård och transport, att vara skyldiga att redovisa ett strukturerat och kontinuerligt IT-säkerhetsarbete. IT-miljön måste klara av omfattande cyberattacker, och eventuella säkerhetsincidenter måste rapporteras till CERT.se som är Sveriges nationella CSIRT (Computer Security Incident Response Team). Ett steg i rätt riktning eftersom det länge har funnits ett stort behov av ett mer strukturerat arbete.
Största förändringen på 20 år
Dom nya EU-direktiven träder i kraft inom mindre än ett år och det är nödvändigt för organisationer att ha förberett omställningen till dess. Mitt personliga intryck när jag träffar företagsledare är dock att många inte har påbörjat arbetet, vilket är skrämmande med tanke på konsekvenserna. För den som är intresserad kan jag rekommendera en artikel från Upphandling som nyligen tog upp kommunernas förväntade svårigheter med att uppfylla GDPR.
Kraven som omfattas i de nya direktiven innebär den största förändringen på 20 år, så det är hög tid för alla att förbereda sig nu när både NIS och GDPR står för dörren!
I vårt whitepaper kan du läsa mer om hur Check Point kan stötta din organisation när den nya lagstiftningen kring GDPR är på plats.
Åsa Edner, Sverigechef Check Point