DISS-CO® är ett innovativt legal tech-företag med starkt fokus på eGRC och RegTech. Företaget är byggt av utredare med erfarenhet av att upptäcka bedrägerier och andra överträdelser inom olika sektorer.
Kaka | Varaktighet | Beskrivning |
---|---|---|
cookielawinfo-checkbox-analytics | 11 månader | Denna cookie ställs in av GDPR Cookie Consent plugin. Cookien används för att lagra användarens samtycke till cookies i kategorin "Analytics". |
cookielawinfo-checkbox-funktionell | 11 månader | Cookien ställs in av GDPR cookie consent för att registrera användarens samtycke till cookies i kategorin "Funktionell". |
cookielawinfo-checkbox-nödvändig | 11 månader | Denna cookie ställs in av GDPR Cookie Consent plugin. Cookien används för att lagra användarens samtycke till cookies i kategorin "Nödvändiga". |
cookielawinfo-checkbox-andra | 11 månader | Denna cookie ställs in av GDPR Cookie Consent plugin. Cookien används för att lagra användarens samtycke till cookies i kategorin "Övrigt". |
cookielawinfo-checkbox-prestanda | 11 månader | Denna cookie sätts av GDPR Cookie Consent plugin. Cookien används för att lagra användarens samtycke till cookies i kategorin "Prestanda". |
policy för visad_cookie | 11 månader | Cookien sätts av plugin-programmet GDPR Cookie Consent och används för att lagra om användaren har samtyckt till användningen av cookies eller inte. Den lagrar inte några personuppgifter. |
EU NIS 2 - En guide till uppfyllelse av AI
NIS 2-direktivet (direktiv (EU) 2022/2555) innebär en betydande uppdatering och utvidgning av skyldigheterna i fråga om cybersäkerhet och riskhantering i hela Europeiska unionen och upphäver det ursprungliga NIS-direktivet (direktiv (EU) 2016/1148). Det inför omfattande åtgärder som syftar till att uppnå en hög gemensam nivå av cybersäkerhet i alla medlemsstater och förbättra den inre marknadens funktion genom förbättrade säkerhetsprotokoll och incidenthanteringsförmåga.
NIS 2-direktivet (direktiv (EU) 2022/2555) trädde i kraft den 16 januari 2023, 20 dagar efter det att det offentliggjordes i Europeiska unionens officiella tidning den 27 december 2022. Medlemsstaterna ska ha införlivat direktivet i sin nationella lagstiftning senast den 17 oktober 2024.
Förståelse av applikationen
Direktivet gäller för både offentliga och privata enheter som identifieras som antingen "väsentliga" eller "viktiga" enheter inom olika sektorer, t.ex. energi, transport, hälsa och digital infrastruktur. Detta omfattar leverantörer av offentliga elektroniska kommunikationsnät, leverantörer av betrodda tjänster och leverantörer av domännamnssystem, oavsett storlek. Enheter inom den offentliga förvaltningen, särskilt på central regeringsnivå, omfattas också på särskilda villkor. En förteckning över väsentliga och viktiga enheter ska upprättas och regelbundet uppdateras av medlemsstaterna.
Identifiering av de förpliktade parterna
Enligt NIS 2-direktivet är företag skyldiga att uppfylla kraven om de kvalificerar sig som "medelstora företag" eller överskrider taken för medelstora företag enligt definitionen i artikel 2 i bilagan till rekommendation 2003/361/EG.
Detta omfattar i allmänhet företag med antingen fler än 250 anställda eller en årsomsättning som överstiger 50 miljoner euro och/eller en årlig balansomslutning som överstiger 43 miljoner euro.
Enligt NIS 2-direktivet är vissa sektorer skyldiga att uppfylla kraven i direktivet oavsett storleken på enheterna inom dessa sektorer. Dessa inkluderar:
Denna kategori omfattar i stort sett enheter som erbjuder tjänster och infrastruktur som är nödvändig för digital kommunikation i hela EU.
Dessa enheter erbjuder tjänster och digitala verktyg för att garantera säkerheten och äktheten i elektroniska transaktioner, inklusive digitala signaturer, sigill, tidsstämplar och relaterade certifikattjänster.
Detta inkluderar organisationer som ansvarar för att hantera och driva toppdomäner (t.ex. .com, .eu) och de som tillhandahåller DNS-tjänster som är avgörande för att internet ska fungera.
Det handlar om enheter som bedöms vara väsentliga för att upprätthålla vitala samhällsfunktioner eller ekonomisk verksamhet, som omfattar ett bredare spektrum av sektorer och som inte begränsas av storlek.
Vidare gäller direktivet för alla enheter, oavsett storlek, om:
1) Den tjänst som tillhandahålls av enheten är väsentlig för att upprätthålla kritiska samhälleliga eller ekonomiska aktiviteter.
Förståelse för kraven
Enheter som omfattas av direktivet är skyldiga att vidta riskhanteringsåtgärder och rapportera betydande cybersäkerhetsincidenter. Dessa krav beskrivs i detalj i NIS 2-direktivet och omfattar policyer för riskanalys, incidenthantering, affärskontinuitet och säkerhet i leveranskedjan. Dessutom måste enheterna följa standarder för nätverks- och informationssystemens säkerhet, som omfattar allt från grundläggande cyberhygien till användning av kryptografi och lösningar för kontinuerlig autentisering.
Potentiella påföljder vid bristande efterlevnad
Vid bristande uppfyllelse ger NIS 2-direktivet medlemsstaterna befogenhet att ålägga väsentliga och viktiga enheter administrativa böter, som kan vara så höga som 10 miljoner euro eller 2% av den totala globala årsomsättningen för det företag som enheten tillhör, beroende på vilket som är högst. Dessa sanktioner är utformade för att vara effektiva, proportionerliga och avskräckande, med beaktande av bland annat överträdelsens allvar, varaktighet och avsiktliga karaktär.
Genomförande och verkställighet
Medlemsstaterna är ansvariga för att utse behöriga myndigheter som ska övervaka genomförandet av NIS 2-direktivet. Dessa myndigheter har befogenhet att genomföra inspektioner, beordra korrigerande åtgärder och utdöma böter. Genom direktivet inrättas också en samarbetsgrupp och ett CSIRT-nätverk för att underlätta strategiskt samarbete och informationsutbyte mellan medlemsstaterna och därigenom stärka EU:s kollektiva cybersäkerhet.
NIS 2 beskriver en omfattande uppsättning cybersäkerhetsåtgärder som obligatoriska företag måste genomföra. Här är en uppdelning av nyckelområden och motsvarande artiklar:
1. Tekniska och operativa åtgärder
Vidta lämpliga och proportionerliga tekniska, operativa och organisatoriska åtgärder för att hantera riskerna för säkerheten i nätverks- och informationssystem som företaget använder för sin verksamhet eller för att tillhandahålla sina tjänster, och för att förhindra eller minimera effekterna av incidenter på mottagare av dess tjänster och på andra tjänster.
2. Riskbedömning
Vid bedömningen av om dessa åtgärder är proportionerliga ska vederbörlig hänsyn tas till ska vederbörlig hänsyn tas till graden av företagets exponering för risker, företagets storlek och sannolikheten för att incidenter inträffar och deras allvarlighetsgrad, inklusive deras samhälleliga och ekonomiska påverkan.
3. Implementering av ISMS
Säkerställa en säkerhetsnivå för nätverks- och informationssystem som är lämplig i förhållande till de risker som föreligger:
Fastställa riktlinjer för riskanalys och säkerhet i informationssystem samt förfaranden för att bedöma effektiviteten i åtgärder för riskhantering avseende cybersäkerhet; riktlinjer för användning av kryptografi och, i förekommande fall, kryptering.
Svara på incidenter och minska riskerna för att undvika sådana incidenter i framtiden; säkerställa rapportering till relevanta myndigheter inom de lagstadgade tidsfristerna i enlighet med GDPR
Ta fram en plan för backuphantering och katastrofåterställning samt krishantering.
Överväga säkerhetsrelaterade aspekter som rör relationerna mellan varje enhet och dess direkta leverantörer eller tjänsteleverantörer.
Säkerställa säkerhet vid anskaffning, utveckling och underhåll av nätverks- och informationssystem, inklusive hantering och avslöjande av sårbarheter.
Kryptografisk kontroll avser användning av kryptografiska tekniker och verktyg för att skydda informationens konfidentialitet, integritet och autenticitet. Dessa kontroller är viktiga komponenter i en enhets cybersäkerhets- och dataskyddsåtgärder och hjälper till att skydda känsliga data mot obehörig åtkomst, avslöjande, ändring och förstörelse.
Personalsäkerhet inom cybersäkerhet avser de policyer, procedurer och åtgärder som implementeras för att hantera och minska de risker som anställda, entreprenörer och tredjepartsleverantörer utgör för en organisations informationssäkerhet. Det omfattar en rad olika aktiviteter som syftar till att säkerställa att personer som anställs, arbetar med eller lämnar organisationen inte påverkar dess cybersäkerhet negativt. Viktiga aspekter av personalsäkerhet inkluderar:
Genomföra bakgrundskontroller och verifiera potentiella medarbetares referenser för att bedöma deras tillförlitlighet och integritet innan de anställs.
Säkerställa att anställda endast har tillgång till den information och de resurser som krävs för deras arbetsuppgifter. Detta innebär att man tillämpar principen om minsta möjliga privilegium och regelbundet granskar och justerar åtkomsträttigheterna när arbetsrollerna ändras eller när anställda lämnar organisationen. Användningen av multifaktorautentisering eller lösningar för kontinuerlig autentisering måste övervägas.
Tillgångshantering är den systematiska processen för att identifiera, katalogisera, hantera och skydda en organisations digitala och fysiska tillgångar under hela deras livscykel.
När anställda lämnar organisationen är det viktigt att på ett säkert sätt avsluta deras åtkomst till alla system och hämta tillbaka all företagsägd utrustning eller information. Denna process hjälper till att förhindra att tidigare anställda får obehörig åtkomst till känslig information eller system.
Inkludera sekretessavtal och klausuler som rör informationssäkerhet i anställningsavtalen. Detta säkerställer att de anställda är juridiskt bundna att skydda organisationens känsliga information.
Genomföra regelbundna utvärderingar av processer och rutiner för personalsäkerhet för att identifiera och minska eventuella nya eller förändrade risker som är förknippade med personal.
Regelbundna utbildnings- och medvetandehöjande program för att utbilda anställda om cybersäkerhetsrisker, policyer och procedurer. Detta inkluderar utbildning i hur man känner igen phishing-försök, skyddar känslig information, använder säkerhetsverktyg och rapporterar säkerhetsincidenter.
1. Genom att utnyttja kraften i konstgjord intelligens erbjuder vår plattform en helhetslösning för att hantera policyer och procedurer, orkestrera incidentrespons och samtidigt hantera risker för dataintegritet.
2. Det effektiviserar förvaltningen av assets, introduktion och övervakning av leverantörer och tjänsteleverantörer samt förenklar hanteringen av riskreducerande åtgärder.
3. Med AI i grunden underlättar vår plattform inte bara skapandet av en intuitiv instrumentpanel för omfattande övervakning, utan ger också intelligent budgetkontroll och godkännandeprocesser för både engångs- och återkommande uppgifter.
Överensstämmelse med NIS 2-direktivet
Förbättra din organisations efterlevnadsstrategi med vår AI-förbättrade Smart Integrity Platform, som säkerställer en sömlös, effektiv och ändamålsenlig metod för att uppfylla kraven i NIS 2-direktivet!