Artikler

NIS2-direktivet – hvordan sikrer jeg mit OT-netværk

arrow_backTil oversigten

22. maj 2024 | Thiim A/S

NIS2 – guide for produktionsvirksomheder

Det har altid været vigtigt at beskytte sig mod cyberangreb – men kravene til virksomheders tiltag for at sikre det industrielle netværk, er steget markant de senere år, da antallet af cyberangreb er stærkt stigende.

Med NIS2-direktivet fra EU, stilles topledelsen nu til ansvar, såfremt virksomheden cyberangribes, hvorfor det bliver endnu vigtigere at kende sit OT-netværk, og hvor I kan øge sikkerheden.

Måske du allerede har hørt om begrebet NIS2; men du har måske ikke tænkt over om det vedrører dig? Det kan det meget vel gøre, da EU har fokus på at højne kravene til virksomhedernes indsats mod cyberangreb for at sikre, at vores samfund ikke går unødigt i stå ved cyberangreb. EU har en interesse i at sikre, at alle samfundskritiske produktioner er optimalt sikret mod cyberangreb, og rapportering heraf er sat i en struktureret form.

Hvornår vedrører det din virksomhed?
Er du leverandør af et samfundskritisk produkt; lad os sige fx. håndsprit til det danske sygehusvæsen, så er du omfattet af NIS2-direktivet. Men er du underleverandør til et samfundskritisk produkt, så er du også omfattet NIS2-direktivet. I ovenstående eksempel kunne det være, at du leverede et element til fremstillingen af håndspritten, eller at du var leverandør af håndsprit til fx. et sygehus – og dermed vil din virksomhed være omfattet NIS2-direktivet.

Direktivet omfatter produkter, men også andre samfunds- og forretningsfunktioner er inkluderet – dvs. summen af den kritiske infrastruktur i samfundet.

Hovedformålet med NIS2-direktivet er ganske enkelt at sikre, at samfundet ikke går i stå, hvis en produktionsvirksomhed cyberangribes – og at etablere et rapporteringssystem, hvor virksomheder har taget stilling til, hvordan angreb rapporteres og der er styr på proceduren af sikkerhedsforanstaltninger.

Vi vil i denne artikel dykke ned i, hvad NIS2 er, hvordan produktionsvirksomheder skal forholde sig til NIS2-direktivet, hvordan de kan forberede sig på at imødekomme kravene.

Hvad er NIS2-direktivet?
NIS2-direktivet er en opdatering af det tidligere Netværks- og Informationssikkerhedsdirektiv (NIS), og er en del af EUs indsats på at styrke den samfundskritiske infrastruktur mod konsekvensen af cyberangreb.

NIS2 har til formål at øge sikkerheden og robustheden i digitale infrastrukturer og tjenester inden for EU. Direktivet stiller krav til udvalgte sektorer, herunder produktionsvirksomheder, og pålægger dem visse forpligtelser for at beskytte deres systemer mod cybertrusler.

Hvorfor skal produktionsvirksomheder forholde sig til NIS2?
Produktionsvirksomheder er en af de vigtigste sektorer i økonomien og spiller en afgørende rolle i forsyningskæden i vores samfund.
Produktionsvirksomhederne er afhængige af avancerede digitale systemer og automatiserede processer, der er sårbare over for cybertrusler.

Et vellykket cyberangreb mod en produktionsvirksomhed kan have katastrofale konsekvenser, herunder driftsafbrydelser, tab af produktionsdata og økonomiske tab.

NIS2-direktivet forpligter produktionsvirksomheder til at identificere og mindske risiciene for deres digitale infrastrukturer og at sikre, at de er i stand til at reagere effektivt på cyberangreb.

Det inkluderer etablering af passende sikkerhedsforanstaltninger, implementering af beredskabsplaner og indberetning af alvorlige hændelser til de relevante myndigheder.

Helt lavpraktisk – hvad skal din virksomhed gøre?
For at kunne overholde NIS2-direktivet, er der 2 retninger, der skal kigges i:

1. Produktniveauet
Fysisk kan du tilføje et ekstra sikkerhedslag på dine enheder, ved at sætte en switch på, som stopper uønsket data i at trænge igennem. En slags port, der forhindrer indtrængen, er et godt billede på, hvordan den switch fungerer.
Her kan Thiim hjælpe med produkterne, der sættes på OT-enhederne, og vi kan hjælpe med overblikket, så du får gjort enhederne mindre sårbare over for angreb

2. Procedureniveauet
Med NIS2-direktivet, er virksomheden også pålagt at etablere konkrete procedurer og sikre, at kravet for indrapportering overholdes.
Vi kan assistere med en tjekliste, så du sikrer, at du har indtænkt alle kravene i jeres egne procedurer



Hvordan kan produktionsvirksomheder forberede sig på NIS2?
For at forberede sig på NIS2-direktivet bør produktionsvirksomheder tage følgende forbehold:
1. Risikovurdering: Identificer og analyser potentielle trusler og sårbarheder i virksomhedens digitale infrastruktur. Det kan omfatte en gennemgang af netværksarkitektur, systemer og adgangsrettigheder

2. Implementering af sikkerhedsforanstaltninger: Etabler passende tekniske og organisatoriske foranstaltninger for at beskytte digitale systemer og data, fx. firewall- og anti-virusløsninger, stærke adgangskontroller og sikkerhedstræning for medarbejdere

3. Beredskabsplan: Udvikl og implementer en beredskabsplan, der definerer, hvordan virksomheden reagerer på cyberangreb eller sikkerhedshændelser. Den bør inkludere procedurer til rapportering af hændelser og inddragelse af relevante interessenter internt og eksternt

4. Opfølgning: Sikre regelmæssig overvågning og rapportering af overholdelse af NIS2-krav, fx. revision af sikkerhedspolitikker, udførelse af risikovurderinger og opdatering af beredskabsplaner


Hvordan kan virksomhederne optimere cybersikkerheden?
På IoT-enhedsniveau i produktionsvirksomheder spiller NIS2 en afgørende rolle i at sikre cybersikkerheden i de tilkoblede enheder og systemer:
1. Sikkerhedskrav til IoT-enheder: NIS2 stiller krav til producenter af IoT-enheder for at sikre, at deres produkter er designet og implementeret med en høj grad af cybersikkerhed. Det omfatter både hardware- og softwareaspekter af enhederne og kræver, at der implementeres sikkerhedsstandarder og -protokoller for at beskytte mod potentielle angreb

2. Beskyttelse af dataoverførsel: NIS2 stiller krav til, at IoT-enheder i produktionsvirksomheder skal have sikre kommunikationsprotokoller og krypteringsmekanismer for at beskytte dataoverførsler. Dette er afgørende for at forhindre uautoriseret adgang til data og beskytte virksomhedens forretning og fortrolige oplysninger

3. Implementering af sikkerhedsopdateringer: NIS2 opfordrer til, at producenter af IoT-enheder skal levere regelmæssige sikkerhedsopdateringer for at håndtere nyopdagede sårbarheder og trusler. Produktionsvirksomheder skal være opmærksomme på disse opdateringer og implementere dem rettidigt for at bevare en robust sikkerhed på deres IoT-enheder

4. Overvågning af IoT-enheder: NIS2 kræver, at produktionsvirksomheder implementerer løbende overvågning og kontrol af deres IoT-enheder for at identificere unormale aktiviteter eller forsøg på angreb. Det kan omfatte implementering af intrusion detection-systemer (IDS) og regelmæssig loganalyse for at identificere potentielle sikkerhedsbrud

5. Styrkelse af leverandørstyring: NIS2 opfordrer produktionsvirksomheder til at have klare retningslinjer og krav til deres leverandører af IoT-enheder, fx. at leverandører følger bedste praksis inden for cybersikkerhed og overholder sikkerhedsstandarder for at minimere risikoen for sårbarheder i forsyningskæden
Ved at fokusere på cybersikkerhed på IoT-enhedsniveau kan produktionsvirksomheder minimere risikoen for cyberangreb og beskytte både deres eget produktionsmiljø og de data, der overføres mellem enhederne.

Adskil virksomhedens systemer
At adskille produktionssystemer fra administrative og andre systemer i virksomheden er en vigtig og effektiv sikkerhedsforanstaltning inden for produktionsmiljøet. Denne adskillelse kan bidrage til at minimere risikoen for uautoriseret adgang til og potentielle angreb mod kritiske produktionsprocesser.

Her er nogle punkter til overvejelse omkring adskillelse af systemer:
1. Netværkssegmentering: Produktionsmiljøet bør opdeles i separate netværkssegmenter, hvor produktionssystemerne isoleres fra administrative og andre interne netværk. Det betyder, at der etableres separate netværk til produktionsudstyr og -systemer, der ikke er direkte forbundet til de øvrige netværk i virksomheden

2. Fysisk adskillelse: Fysisk adskillelse af produktionssystemer og administrative systemer indebærer at placere dem på separate fysiske lokationer eller adskilte zoner inden for samme facilitet. Det kan kan fx. ske ved brug af fysisk adskilte serverrum eller, hvis muligt, adskilte bygninger. Adskillelse reducerer risikoen for, at et angreb mod administrative systemer spreder sig til produktionssystemer

3. Adgangskontrol og autentificering: Implementering af streng adgangskontrol og autentificering er afgørende for at sikre, at kun autoriserede personer har adgang til de forskellige systemer. Det kan være brug af unikke brugeridentiteter, stærke adgangskoder, to-faktor-autentificering og rollebaseret adgangskontrol

4. Segmenteret databehandling: Produktionsdata bør behandles og opbevares separat fra administrative data. Det er med til at sikre, at adgang til produktionssystemer ikke automatisk giver adgang til fortrolige administrative oplysninger. Segmentering af databehandling hjælper også med at beskytte følsomme produktionsdata mod uautoriseret indtrængen

5. Sikkerhedsovervågning og logning: Implementering af sikkerhedsmonitorering og logning af både produktionssystemer og administrative systemer er afgørende for at identificere og reagere på eventuelle sikkerhedshændelser. Overvågning af netværkstrafik, systemlogfiler og anvendelse af intrusion detection-systemer (IDS) kan hjælpe med at opdage og reagere hurtigt på potentielle trusler

Ved at adskille produktionssystemer fra administrative og andre systemer i virksomheden reduceres risikoen for, at et angreb mod administrative systemer får indvirkning på kritiske produktionsprocesser.

Denne adskillelse giver en ekstra beskyttelseslag og kan hjælpe med at sikre, at produktionsmiljøet forbliver sikkert og pålideligt, selv i tilfælde af en sikkerhedshændelse.

Betydningen af NIS2 på et overordnet niveau
NIS2 spiller en afgørende rolle i beskyttelsen af digital infrastruktur og tjenester i hele EU. Det hjælper med at opbygge en mere sikker og pålidelig digital økonomi, hvor virksomheder og forbrugere kan have tillid til at deltage i digitale transaktioner og udveksle data. NIS2's betydning strækker sig ud over enkeltvirksomheder og bidrager til at styrke EU's overordnede cyberresiliens.

Produktionsvirksomheder bør allerede nu tage NIS2 alvorligt og forberede sig på at imødekomme de krav, det stiller. Ved at gennemføre risikovurderinger, implementere sikkerhedsforanstaltninger og udvikle beredskabsplaner kan virksomheder reducere sårbarheder over for cybertrusler og styrke deres digitale sikkerhed.

Har du brug for hjælp, så tag fat i Poul eller Søren.

Flere artikler fra Thiim A/S

Artikel er skrevet af:

Thiim A/S

Vi hjælper virksomheder i Danmark og i udlandet med produkter og løsninger inden for industriel IT, el-komponenter og elektronik, så de optimerer driften og minimerer nedetid.

Sammen med dig, finder vi den løsning, der teknisk og økonomisk matcher dine behov og ønsker.

Vores erfarne specialister hjælper dig i mål med den bedste løsning, der matcher netop dine behov, ønsker og budget. Du vil opleve, at vi sætter os grundigt ind i opgaven for at sikre, at du får den helt rigtige og mest langtidsholdbare løsning.

Du vil mærke, at 50 år i branchen har givet os en solid erfaring, som du og

Se profil

Mød os på AUTOMATIK

Allan Olsen

KAM/Sales

Thiim A/S

På messen

Allan Olsen

Poul Madsen

KAM/FAE

Thiim A/S

På messen

Poul Madsen

Per Klausen

Sales Engineer, Electrical components

Thiim A/S

På messen

Per Klausen

Steen Lydeking Andersen

International Channel Sales Manager

Thiim A/S

På messen

Steen Lydeking Andersen

Søren Koch Jacobsen

KAM/FAE, Industrial IT

Thiim A/S

På messen

Søren Koch Jacobsen

keyboard_arrow_up