NIS2 och Besökssystem
- Hem
- Våra produkter
- Besökssystem
Navigera i komplexiteten i NIS2-direktivet med vår omfattande guide. Upptäck varför det är viktigt för sektorer som myndigheter, försvar, energi, hälsovård och IT, och lär dig hur PartnerSec’s lösningar för besökshantering kan hjälpa dig efterleva NIS2 direktivet.
Fyll i vårt formulär så hjälper vi dig med alla dina frågor:
1. Vad?
2. Vem?
3. Ditt meddelande
- Automatiskt besökshantering
- Professionellt bemötande
- Kundanpassad upplevelse
Vad är NIS2 och hur påverkar det din organisation?
I den digitala eran är termer som cyberattacker, nätfiske, skadlig programvara och ransomware mer än bara trendiga modeord. De representerar verkliga hot som påverkar vårt dagliga liv. I takt med att vårt samhälle blir allt mer beroende av digital infrastruktur har utmaningen att värna om den aldrig varit större. Det är därför Europa skapade NIS2-direktivet, ett kraftfullt initiativ för att stärka cybersäkerheten i Europa.
Den nya cybersäkerhetslagstiftningen NIS2 omdefinierar reglerna när det gäller riskhantering och rapporteringskrav och inför strängare straff för bristande efterlevnad.
17 oktober 2024 är det datum då EU-länderna måste införliva NIS2 i sina nationella lagar vilket innebär att alla organisationer som påverkas måste förbereda sig på större översyn av sina cybersäkerhetsåtgärder. Hur kommer detta att påverka din verksamhet? Och hur ska du förbereda dig för de förändringar som ligger framför dig?
I den här artikeln kommer vi att täcka allt du behöver veta om den nya lagstiftningen och utforska dess konsekvenser för ditt företag. Vi tar upp följande nyckelfrågor:
Vad är NIS2?
NIS2-direktivet (i sin helhet: Nätverks- och informationssäkerhetsdirektivet 2022/0383) är hörnstenen i EU-omfattande lagstiftning om cybersäkerhet. Syftet är att förbättra säkerheten för nätverks- och informationssystem i Europa. Den kräver att operatörer av kritisk infrastruktur och leverantörer av väsentliga tjänster implementerar nödvändiga säkerhetsåtgärder och rapporterar incidenter till myndigheterna.
NIS2 är en uppdatering av det ursprungliga NIS1-direktivet från 2016, och det trädde i kraft i januari 2023. EU:s medlemsländer har fram till den 17 oktober 2024 på sig att införliva direktivet i nationell lagstiftning. Detta innebär att varje organisation som faller inom dess räckvidd kommer att vara juridiskt skyldig att uppfylla dess krav i slutet av 2024. Sammantaget involverar NIS2 mer än 160 000 organisationer över hela Europa.
Hur hjälper besökssystemet CavVisit din organisation att uppfylla NIS2?
En av de absoluta hörnstenarna i NIS2 är spårbarhet av data och möjlighet till effektiv rapportering. När en incident inträffar måste NIS2 ansvariga kunna ta ut rapport på vilka personer som fanns på anläggningen/kontoret när incidentent skedde samt tiden innan incidenten samt data kopplade till dessa. Alla besökare registreras i CavVisit och ger NIS2 personal möjlighet att exportera besöksdata i ett rapportvänligt format så att de kan användas som grund för rapport enligt NIS2 reglerna.
Besökssystemet är byggt så att det enkelt konfigureras till att ha rätt NIS2 datafält för alla besökare. Genom alla besökare få fylla i de datafält som din organisation kräver så vet ni garanterat att ni har uppfyllt kraven för spårbarhet att data som NIS2 ställer på er organisation.
CavVisits besökskiosker konfigureras så att besökare fyller i alla datafält rätt samt att de får godkänna besökspolicy som innehåller både GDPR information och information från besökssystemets NIS2 datafält. Olika anläggningar kommer att ha olika datakrav på sig avseende NIS2 och detta är något som ställs in i besökssystemet. Dessa datafält anpassas för de olika anläggningarna/kontoret med hjälp av CavVisits inbyggda multi-site funktionalitet.
Öppna Wi-Fi nätverk, så kallade gästnät, uppfyller inte NIS2 kraven då dessa nät inte avkräver besökaren inloggningsuppgifter och därmed kan besökarens cybertrafik spåras. Med hjälp av CavVisits Wi-Fi integration till HP Aruba, Cisco och Ubiquiti Wi-Fi plattformar så får varje besökare unika inloggningsuppgifter till gästnätet och därmed kan NIS2 ansvariga se exakt hur besökarna har använd gästnätet.
Vad är det som är nytt med NIS2?
Jämfört med NIS1 har tillämpningsområdet för lagstiftningen utökats avsevärt. Dessutom har de obligatoriska säkerhetsåtgärderna och incidentrapporteringen skärpts, och konsekvenserna för bristande efterlevnad är mycket strängare.
Vilka organisationer och företag påverkas av NIS2?
Faller din organisation inom NIS2-direktivets tillämpningsområde?
Låt oss först titta på de 18 sektorer som NIS2 gäller. Direktivet delar in dessa i två kategorier: ”mycket kritiska” och ”övriga kritiska”. Skillnaden ligger främst i tillsynsåtgärderna och påföljderna; vi återkommer till detta senare. Organisationer i båda kategorierna måste dock uppfylla samma krav.
18 sektorer och typer av organisationer som påverkas av NIS2
Dessa sektorer klassas som MYCKET kritiska;
- Banksektorn
- Transportsektorn
- Hälsovård
- Myndigheter
- Energisektorn
- Finansiella sektorn
- Vatten och avlopp
- Digital infrastruktur och Telecom
- Rymdsektorn
Dessa sektorer klassas som ÖVRIGA kritiska;
- Tillverkning och distribution av kemikalier
- Tillverkning och distribution av mat
- Sophantering
- Post och budtjänster
- Tillverkning av medisinsk utrustning, datorer, elektronik, tunga maskiner och utrustning, motordrivna fordon, lastbilar och lätta lastbilar samt annan transportrelaterad utrustning.
- Digitala tjänsteleverantörer
- Forskning och utveckling
Om din verksamhet eller sektor ingår i någon av de listade sektorerna så påverkas du av NIS2 med största sannolikhet.
Vänligen observera! Det finns en nivå till, förutom dessa 18 sektorer. NIS2 definierar även två kategorier av organisationer som måste följa lagstiftningen: ”väsentliga” och ”viktiga” enheter.
Påverkas din organisation av NIS2? Se schemat nedan.
2 kategorier av enheter i NIS2
Väsentliga enheter
- Organisationer i ”mycket kritiska” sektorer med mer än 250 anställda eller en årlig omsättning på mer än 50 miljoner euro eller en balansräkning högre än 43 miljoner euro
- Trust-tjänsteleverantörer, toppdomännamnsregister och DNS-tjänsteleverantörer, oavsett deras storlek
- Leverantörer av offentliga elektroniska kommunikationsnät eller tjänster med 50-250 anställda eller mer än 10 miljoner euro i intäkter
- Statliga/Offentliga tjänster (central nivå)
- Alla andra viktiga organisationer som är den enda leverantören av tjänsten inom landet, eller där avbrott i deras tjänst kan ha en stor inverkan.
Viktiga enheter
- Organisationer inom ”andra kritiska” sektorer med mer än 50 anställda eller en årlig omsättning på mer än 10 miljoner euro
- Organisationer i ”högt kritiska” sektorer med 50-250 anställda eller en årlig omsättning på 10 till 50 miljoner euro eller en balansräkning på 10 till 43 miljoner euro.
Små företag med mindre än 50 anställda och en omsättning på mindre än 10 miljoner euro utesluts inte automatiskt. Medlemsstaterna kan betrakta dem som ”kritiska” eller ”viktiga” om deras tjänster spelar en nyckelroll i samhället eller om avbrott i deras tjänster skulle få betydande konsekvenser för folkhälsan eller säkerheten.
Viktiga enheter kan proaktivt kontrolleras för att följa NIS2, medan viktiga enheter endast utreds efter ett klagomål.
Om din organisation är utanför EU?
Om din organisation inte är baserad i EU kanske du tror att NIS2 inte gäller dig. Tyvärr, om din organisation faller under någon av de tidigare nämnda kategorierna och tillhandahåller tjänster inom EU, måste du följa NIS2-direktivet.
NIS2-direktivet anger specifika riktlinjer för organisationer utanför EU. Enheter utanför EU som tillhandahåller tjänster inom EU är skyldiga att utse en representant i ett EU-medlemsland där tjänsterna tillhandahålls. Denna person måste övervaka organisationens efterlevnad av NIS2. Din organisation ska ha en NIS2 ansvarig person.
Vad händer om din organisation är utanför scopet?
Om din organisation inte är en del av scopet för NIS2 behöver du inte oroa dig för böter eller omedelbart följa reglerna. Men chansen är stor att du fortfarande kommer att påverkas av NIS2.
Till exempel, om du tillhandahåller tjänster eller produkter till en enhet som är inom NIS2-omfattningen, kan den klienten kräva att du uppfyller en viss nivå av cybersäkerhet. I det här fallet kommer du inte att granskas av myndigheter som övervakar NIS2-efterlevnad, utan av din klient istället.
Det kan vara klokt att ändå överväga att anpassa dina säkerhetsåtgärder till NIS2-direktivet. Detta tillvägagångssätt gör det lättare att samarbeta med andra företag, och du kan försäkra dina kunder att du är följsam och pålitlig.
Vilka är NIS2-kraven?
Så din organisation faller inom tillämpningsområdet för NIS2-direktivet. Vad betyder detta för dig och vad är nästa steg?
1. Registrering
Senast den 17 april 2025 måste medlemsländerna identifiera alla väsentliga och viktiga enheter som faller inom scopet av NIS2. Detaljer om registreringsprocessen kommer att bli klara när direktivet har införlivats med nationell lagstiftning. Åtminstone kommer registreringen att innehålla följande information:
- Namn, adress och registreringsnummer
- Sektor
- Kontaktuppgifter
- Medlemsstater där organisationen är verksam
- Tilldelade IP-adresser
2. Förpliktelser
Detta leder oss till huvudfrågan: vilka åtgärder och skyldigheter finns för organisationer inom scopet för NIS2? NIS2 delar in kraven i fyra huvudområden:
- Riskhantering: företag bör vidta åtgärder för att minimera cyberrisker, såsom incidenthantering, starkare leveranskedjassäkerhet, förbättrad nätverkssäkerhet, bättre åtkomstkontroll och kryptering.
- Ansvarsskyldighet: ledningen bör utbildas och måste övervaka organisationens cybersäkerhetsåtgärder och hantera risker; överträdelser kan leda till sanktioner.
- Rapportering: organisationer måste ha processer på plats för att snabbt rapportera betydande säkerhetsincidenter.
- Kontinuitet: organisationer bör planera hur de ska säkerställa affärskontinuitet i händelse av cyberincidenter.
3. 10 minimisäkerhetsåtgärder
Förutom dessa fyra huvudområden tillhandahåller NIS2 10 grundläggande säkerhetsåtgärder för viktiga och viktiga enheter:
- Riskanalys och säkerhet av informationssystem.
- Utvärdering av säkerhetsåtgärder.
- Policyer och rutiner för användning av kryptografi och, när det är relevant, kryptering.
- En plan för hantering av säkerhetsincidenter
Säkerhet vid förvärv, utveckling och underhåll av nätverk och informationssystem, inklusive rapportering av sårbarheter. - Cybersäkerhetsutbildning och grundläggande praxis för cyberhygien.
- Åtkomstpolicyer och säkerhetsprocedurer för anställda med tillgång till känsliga eller viktiga data.
- En plan för affärskontinuitet under och efter en säkerhetsincident.
- Användningen av multifaktorautentisering eller kontinuerlig autentiseringslösningar och kryptering av kommunikation.
- Säkerhet i försörjningskedjor och relationer med leverantörer.
4. Nya rapporteringskrav
Låt oss hoppas att du inte behöver det här avsnittet, men om en säkerhetsincident inträffar måste du meddela lämpliga myndigheter. Det här är de nya riktlinjerna:
- Inom 24 timmar: en ”tidig varning” till Computer Security Incident Response Team (CSIRT) eller nationell myndighet.
- Inom 72 timmar: ett incidentmeddelande med en första bedömning av incidenten, dess svårighetsgrad och konsekvenser.
- Inom 1 månad: en slutrapport med en detaljerad beskrivning av händelsen, inklusive dess svårighetsgrad, påverkan, orsak och vidtagna åtgärder.
5. Vilka påföljder och böter finns på plats?
NIS2-direktivet definerar två kategorier för organisationer inom dess tillämpningsområde. Oroa dig inte om du har svårt att se skogen för träden: här är en kort sammanfattning.
- Väsentliga enheter är stora organisationer (>250 anställda eller >50 miljoner euro i vinst) inom sektorer som transport, energi, vatten och rymd.
- Viktiga enheter är medelstora organisationer (>50 anställda eller >10 miljoner euro i vinst) inom ovannämnda sektorer; OCH stora och medelstora organisationer inom sektorer som livsmedel, digitala tjänster och forskning.
Kraven för båda kategorierna är desamma; skillnaden ligger i tillsynsåtgärderna och sanktionerna, vilket tabellerna nedan visar.
Böter
Väsentliga enheter
Viktiga enheter
Böter:
10 miljoner euro eller 2 % av den globala årliga omsättningen.
Icke-monetära straff:
– Efterlevnadsorder
– Bindande instruktioner
– Implementeringsorder för säkerhetsrevision
– Beställningar om hotmeddelanden till enheters kunder
– Straffrättsliga påföljder för ledningen
Böter:
7 miljoner euro eller 1,4 % av den globala årliga omsättningen.
Icke-monetära straff:
– Efterlevnadsorder
– Bindande instruktioner
– Implementeringsorder för säkerhetsrevision
– Beställningar om hotmeddelanden till enheters kunder
– Straffrättsliga påföljder för ledningen
Vänligen observera! Medlemsstaterna får föreskriva att böter inte ska gälla för statliga organ. De andra påföljderna kommer dock att gälla.
Tillsynsåtgärder
Väsentliga enheter
Viktiga enheter
Aktiva kontroller:
externa revisioner, inspektioner, dokumentationsförfrågningar.
Tillsyn i efterhand:
åtgärder vidtas när myndigheter får bevis på bristande efterlevnad.
6. Hur du förbereder ditt företag för NIS2
Vad är nästa för din organisation?
Om du inte är en del av räckvidden kan du andas lätt. Men du är inte helt utesluten. Gör en lista över företag du arbetar med som måste följa NIS2 och fundera över vad detta betyder för din organisation. Och fundera på om och hur du kan tillämpa de nya säkerhetsåtgärderna ändå, eftersom de kommer att ge dig fördelar i slutändan.
Om du är inom räckvidden är det dags att börja jobba. Vi rekommenderar att du följer dessa steg för att komma igång med NIS2-förberedelser:
- Gör en riskbedömning. Vilka är potentiella säkerhetsrisker? Hur sannolikt är det att de händer? Vilken är den potentiella påverkan? Och vilka åtgärder finns redan för att begränsa riskerna?
- Uppdatera dina säkerhetspolicyer. Baserat på riskbedömningen, uppdatera befintliga säkerhetspolicyer eller utveckla nya. Se till att du täcker de 10 grundläggande kraven för NIS2.
- Genomför säkerhetsåtgärder. Alternativen inkluderar: förbättrad nätverkssäkerhet, strängare åtkomstkontroller, kryptering och säkra leveranskedjan. Vårt automatiska besökssystem, CavVisit, kan hjälpa dig avsevärt: det ger kontroll över din besökshantering, lagrar besökarnas personuppgifter säkert och förenklar incidentrapporteringen genom att upprätthålla korrekta register över alla besökarnas aktiviteter.
- Utveckla rutiner för att upptäcka, övervaka, lösa och rapportera incidenter.
- Utbilda personalen och ledningen. Vilka anställda utför kritiska funktioner inom organisationen? Gör dem medvetna om riskerna och säkerhetsåtgärderna.
- Förbered för revisioner och inspektioner. Upprätthåll tydliga och omfattande register över dina säkerhetspolicyer, riskbedömningar, incidentrapporter och efterlevnadsaktiviteter.
Slutsats
NIS2-direktivet representerar en milstolpe i Europeiska unionens policy att stärka cybersäkerhetsstandarder inom dess gränser. För organisationer som faller under denna förordning är att följa NIS2 inte bara en juridisk skyldighet, utan också en möjlighet att förbättra sin cybersäkerhet, skydda sina data och bygga upp förtroende hos kunder och partners.
Direktivet kräver ett proaktivt förhållningssätt och antagandet av ett digitalt besökssystem spelar en nyckelroll i detta sammanhang. Ett sådant system hjälper till att följa NIS2-standarder på flera sätt. Det förbättrar åtkomstkontrollen och skyddar besökarnas personuppgifter från cyberhot. Dessutom upprätthåller systemet noggranna loggar över besökarnas aktiviteter, vilket förenklar bedömningen av potentiella risker, stärker säkerheten i försörjningskedjan och underlättar incidenthantering och rapportering i händelse av en säkerhetsincident.
För att få en känsla av hur ett modernt besökshanteringssystem kan hjälpa ditt företag, kontakta oss idag. Chatta med oss eller boka en demo för att diskutera hur PartnerSec kan hjälpa dig att förbättra din besökshantering.
Ta emot besökare automatiskt
Det cloudbaserade besökssystemet CavVisit har en inbyggd regelmotor där besöksprocesserna anpassas för varje installation och plats. Varje plats har sina, unika, regler för att automatiskt ta emot besökare.
QR-koder till mobilen
I den automatiserade bokningen skickar vi QR-koder till besökarnas mobiltelefon via SMS. Besökaren slipper besöksbricka och tar istället sin mobiltelefon och visar QR-koden för QR-kodsläsaren.
Rätt besökare till rätt våning
Den automatiska QR-kodslösningen guidar besökaren automatiskt till rätt våning genom en integration till hissarna i fastigheten. QR-koden fungerar endast på de våningar som besökaren har rätt att åka till.
Det smarta valet
Automatiska uppdateringar, webbaserade gränssnitt, inbyggda scheman, automatiska GDPR processer, kryptering, mobila nycklar och mycket annat gör att PartnerSec är det rätta valet för den obemannade reception som vill använda moderna säkerhetslösningar.
CavVisits funktioner
PartnerSecs besöksystem innehåller en rad funktioner som anpassas till varje museums behov.
Snabb och Smidig Inpassering
QR-koder gör inpasseringen vid museets speed gates snabb och smidig. Besökarna behöver bara hålla upp sina mobiltelefoner med QR-koden mot läsaren, och dörren öppnas automatiskt om informationen är korrekt. Detta sparar tid och minimerar köbildning vid ingången, vilket gör hela upplevelsen mer bekväm och effektiv.
Säkerhet och Minskad Risk för Förlorade Biljetter
QR-koder är säkra och unika för varje besökare. Detta minskar risken för förlorade eller stulna biljetter, vilket är vanligt vid användning av pappersbiljetter. Besökarna kan enkelt återskapa QR-koden om de skulle förlora sin mobiltelefon, vilket ger en extra säkerhetsnivå.
Flexibilitet och Mobilitet
QR-koder finns i besökarnas mobiltelefoner, vilket innebär att de alltid har sina biljetter tillgängliga oavsett var de befinner sig. Detta ger besökarna flexibilitet att ändra sina planer eller göra sista-minuten-besök utan att behöva gå till en biljettkassa eller vänta på att få en fysisk biljett.
Anpassningsbarhet och Information
QR-koder kan enkelt innehålla mer än bara biljettinformation. Museer kan inkludera användbar information som besökskartor, guider eller länkar till digitala utställningar i QR-koden. Detta gör det möjligt för besökarna att få mer ut av sitt besök och ökar den övergripande kvaliteten på museumsupplevelsen.