Passersystem

NIS2 inget att blunda för - uppdatering av säkerhetsnivåer som inte får underskattas

Publicerad
SecTech_2023_US x RLL_Swiping Card-1601
NIS2 inget att blunda för

Vi har alla sett ganska många attacker på samhällsfunktioner under det senaste året, vilka ställt till med rejäla problem. Senast idag läste jag om hur hemsidorna för Riksdagen, Finansinspektionen, Försäkringskassan och Kronofogden upplevt stora problem från en rysk cyberattack, vilket visar hur sårbart vårt samhälle är. Vad kan vi göra för att skydda oss från dessa allvarliga attacker? Det har EU funderat på och svaret heter NIS2.

NIS2-direktivet (Network and Information Security Directive 2nd Edition) ska, tillsammans med CER-direktivet (Directive on the resilience of critical entities), börja tillämpas den 18 oktober i år för att därefter anpassas till svensk lagstiftning. Tidigare beräknades denna anpassning vara klar i januari 2025, men i september 2024 reviderades datumet och är nu justerat till att gälla från juni 2025 (Text reviderad 2024-10-02). Det innebär att EU tar ett gemensamt grepp för att förbättra skyddet för kritisk infrastruktur och digitala tjänster mot cyberhot. NIS2 behandlar säkerhetsnivån i EU och CER om kritiska entiteters motståndskraft, det vill säga vilka samhällsfunktioner vi till varje pris måste skydda – man räknar upp 18 sektorer som kritiska som till exempel transport-, energi-, bank- & finans-, hälso- och sjukvårds-, vatten- och avlopps- och rymdsektorn, se MSB:s webbsida för hela listan
    Man vill utveckla en hög gemensam säkerhetsnivå i EU och på så sätt avsevärt minska risken för cyberattacker som kan påverka samhällets säkerhet. Dessutom ställer CRA (Cyber Resilience Act) krav på säkerheten i alla uppkopplade produkter som kameror, passersystem med mera.

Fysisk säkerhet börjar i perimetern

Om man, som jag, arbetar med att skydda objekt så är det fysiska skyddet av lokalen eller området kritiskt. Idag finns det många olika lösningar för detta, men i Sverige kan vi inte använda de som skulle ge högst säkerhet som exempelvis biometriska lösningar. Det anses inte skydda individens integritet i linje med EU:s och våra regelverk. Skyddet av individens integritet är viktigt och idag kan vi inte använda den möjligheten i den utsträckning som man gör i till exempel USA. Frågan är om NIS2 kommer att driva på en debatt för att möjliggöra tillgång till vassare verktyg i flera fall, det återstår att se. 
    En väg är att använda personliga smartphones, som idag har en hög säkerhetsnivå, för att koppla åtkomst till en individ. Det innebär att alla behöver ha en personlig mobil och det kan ge andra problem – inte minst kostnadsmässigt.

Passerkort, kortläsare och tillhörande knappsats är inte så säkra som du tror

De flesta av dagens passersystem består av kortläsare med knappsats för personlig kod, men faktum är att de inte är speciellt säkra. Att kopiera passerkort är i de flesta fall inte svårt, och att kika över axeln för att se koden på en knappsats är lika gammalt som uttagsautomater. För att inte tala om att låna ut sitt kort, vilket är väldigt praktiskt, men plötsligt fallerar hela säkerhetssystemet.
    Vi behöver alla se över vårt hus för att stärka identitets- och åtkomsthanteringen – och det gäller inte bara NIS2-direktivets kritiska sektorer. De flesta organisationer som värderar säkerhet behöver ta sig en funderare på vilken säkerhet man egentligen har – och jag tror att många kommer att bli överraskade av vilka sårbarheter som dyker upp i det fysiska skyddet.

Ansvaret ligger hos ledningen

Ansvaret för att implementera NIS2-direktivet ligger på verksamhetens ledning. Ledningen måste se till att de nya säkerhetskraven implementeras och följs, annars riskerar man att drabbas av stora sanktionsavgifter.
    I dagsläget är det oklart hur lång tid organisationer kommer att ha på sig för att genomföra implementeringen, men det förväntas att allt arbete ska vara slutfört under 2025. Även om det kan låta avlägset innebär det att arbetet måste påbörjas omedelbart för att säkerställa att alla krav uppfylls och för att undvika potentiella sanktionsavgifter.

Vill du veta mer om hur säkra era passersystem är? 

Om du funderar på var ni står med säkerheten i era passersystem, hör av dig så kan vi se om vi kan hjälpa er att få klarhet. NIS2 är inget man kan blunda för, och det kan bli dyrt om man inte uppfyller kraven.

- Johnny Eriksson
Affärschef Inbrott/Access

 

Läs mer om NIS2