Klarar ditt digitala lås NIS2-kraven?

Under SLR:s årsmöte i Helsingborg i slutet av april föreläste säkerhetsexperten Hanna Linderstål om informationssäkerhet och de ökade krav som följer i spåren av NIS2-direktivet. Många deltagare efterfrågade då ett konkret stöd för hur man som leverantör av digitala lås och låssystem kan bedöma sin egen cybersäkerhet och förstå kundernas kravbild.

Tillsammans med Hanna Linderstål delar vi här en praktisk checklista för företag som levererar digitala lås och låssystem till samhällsviktiga verksamheter. Checklistan hjälper dig att få en överblick över vilka säkerhetsfrågor som blir allt viktigare när cybersäkerhet går från rekommendation till affärskrav.

Checklista: Klarar ditt digitala lås NIS2-kraven?

Leverantörer av digitala lås och låssystem blir i praktiken en del av kundens cybersäkerhet. Om man levererar till samhällsviktiga tjänster enligt NIS2-direktivet måste man kunna visa att produktens cybersäkerhet håller en hög nivå.

När digitala lås används i samhällsviktig verksamhet räcker det inte att de fungerar – de måste också vara säkra över tid. Här är en praktisk checklista för att avgöra om ett låsföretag har en grundläggande säkerhet:

1. Har ni kontroll på det egna säkerhetsarbetet?

• Finns en tydligt ansvarig för informationssäkerhet i er verksamhet?
• Arbetar ni systematiskt med att hantera digitala risker i er verksamhet och i era produkter?
• Är säkerhetsarbetet en fråga för ledningen?

2. Är själva låset säkert?

• Har varje enhet egna inloggningsuppgifter (inga standardlösenord)?
• Har varje användare (tex servicetekniker i en fastighet) egna inloggningsuppgifter?
• Är kommunikationen mellan lås och eventuella andra enheter (appar) krypterad?
• Går det att skydda systemet mot intrång via nätet?
• Krävs stark inloggning (Multifaktorsautentisering) för administratörer?

3. Byggs produkten på ett säkert sätt?

• Testas produkten regelbundet för sårbarheter?
• Genomförs penetrationstester systematiskt?
• Finns en strukturerad utvecklingsprocess för cybersäkerhetsaspekter?

4. Går det att uppdatera låsen, och hur snabbt görs det?

• Kan säkerhetsuppdateringar skickas ut på distans?
• Hur snabbt åtgärdas kritiska brister?
• Hur länge får produkten säkerhetsstöd och uppdateringar av utvecklaren?

5. Vad händer vid en cyberincident?

• Kan ni eller utvecklaren upptäcka intrång i hård- eller mjukvara?
• Hur samlar ni in information om incidenter hos kunder?
• Hur informerar ni kunder om ni får information om incidenter i era egna installationer eller generellt hos ett låssystem ni säljer?
• Kan ni ge underlag så att kunden klarar sina rapporteringskrav enligt lag?

6. Är molntjänsten en styrka snarare än en svaghet?

• Vet ni var data gällande låssystem lagras?
• Är informationen skyddad och separerad mellan kunder?
• Vad händer om tjänsten ligger nere?

7. Har ni koll på era underleverantörer?

• Vet ni vilka komponenter och system era låssystem bygger på?
• Ställer ni säkerhetskrav på era leverantörer?
• Följer ni upp deras arbete?

8. Går det att spåra vad som hänt?

• Loggas vem som öppnar eller försöker öppna ett lås?
• Registreras ändringar i systemet?
• Kan informationen delas med kundens säkerhetssystem?

9. Går åtkomsten att styra?

• Har olika användare olika behörigheter?
• Är administratörsrättigheter begränsade och kontrollerade?
• Går systemet att koppla till kundens egna inloggningslösningar?

10. Kan ni visa hur säkerheten fungerar?

• Finns dokumentation som beskriver säkerheten i produkten och ert eget arbete med cybersäkerhet?
• Kan ni visa testresultat eller granskningar?
• Får kunden tillräcklig information för att göra en egen bedömning?