NIS2 och markstationer - 10 påståenden
Det nationella genomförandet av cybersäkerhetsdirektivet (Network and Information Systems Directive, NIS2-direktivet) träder i kraft hösten 2024. Syftet med det nya direktivet är att stärka EU:s gemensamma och medlemsstaternas nationella cybersäkerhetsnivå i fråga om sektorer och aktörer som anses kritiska med tanke på samhällets funktion. I fråga om NIS2-direktivet är Transport- och kommunikationsverket Traficom tillsynsmyndighet inom rymdsektorn.
I denna bloggartikel går vi igenom 10 påståenden om NIS2-direktivet ur rymdaktörernas synvinkel och undersöker om de är fakta eller fiktion. Se till att du känner till fakta och undviker missförstånd när de nya bestämmelserna om cybersäkerhet blir en del av din vardag.
Alla rymdaktörer omfattas av NIS2-direktivets bestämmelser.
Fiktion. Markstationerna och deras övervaknings- och kontrollcentraler omfattas av regleringen och även tillhörande markbunden infrastruktur. Rymdföremål, såsom satelliter, och rymdverksamhet hör däremot inte till området.
Markstationer är en väsentlig del av den moderna telekommunikationsinfrastrukturen och gör det möjligt att kommunicera med satelliter genom att förmedla information mellan jorden och rymden. Markstationsinfrastruktur behövs för att möjliggöra dataöverföring mellan satelliter samt markbundna nät och tjänster. Markstationerna stöder alltså i stor utsträckning kommunikationen i olika tillämpningar, såsom satellitkommunikation, väderprognoser, televisionssändningar och vetenskaplig forskning. Beroende på aktörens storlek eller kritiska karaktär omfattas de aktörer som fått tillstånd att bedriva markstationsverksamhet eventuellt av regleringen, så aktörerna inom branschen ska senast nu se över sin cybersäkerhetspolitik och se över kriterierna för föremålen för NIS2-direktivets reglering. Också offentliga aktörer som inte särskilt har tillstånd för markstationsverksamhet kan omfattas av regleringen. Närmare information om tillstånd för markstationsverksamhet och om de verksamheter som omfattas av regleringen finns på Traficoms webbplats.
Markstationerna kan vara kritiska med tanke på såväl den nationella säkerheten som den ekonomiska stabiliteten, vilket gör deras cybersäkerhet särskilt viktig. Genom att uppfylla de nya kraven och vidta nödvändiga åtgärder kan markstationer säkerställa att de är bättre skyddade mot cyberhot. På så sätt kan de fortsätta sin betydande roll på ett säkert och tillförlitligt sätt även i framtiden.
NIS2-direktivet möjliggör nationellt handlingsutrymme vid planeringen av cybersäkerheten.
Fakta. På EU-nivå fastställer direktivet miniminivån, dvs. medlemsländerna kan vid det nationella genomförandet införa till exempel större sanktioner eller striktare bestämmelser för vissa branscher eller aktörer. Aktörer som omfattas av regleringen och även aktörer som står utanför regleringen kan dock, om de så önskar, ställa högre krav i sin cybersäkerhetspolitik. Vid genomförandet av direktivet har Finland utnyttjat det nationella handlingsutrymmet i fråga om skyldigheternas tillämpningsområde, omfattning och tillsyn. De inhemska aktörernas övergång till NIS2-direktivets krav har underlättats redan av de cybersäkerhetskrav som ingår i lagen om markstationer och vissa radaranläggningar, dvs. markstationslagen, och som föreskrevs före NIS2:s regleringskrav.
NIS2-direktivet är i sin helhet mer omfattande än sitt föregångares NIS1-direktiv.
Fakta. Detta nya direktiv uppdaterar och utvidgar tillämpningsområdet för det nuvarande NIS-direktivet så att det nu i större utsträckning omfattar olika branscher och kritisk infrastruktur, såsom sektorerna för energi, hälso- och sjukvård, rymd och digitala tjänster. Tillsynsmyndigheterna övervakar också en del aktörers riskhantering på förhand, och för alla aktörers del i efterhand vid cyberincidenter. De aktörer som omfattas av regleringen ska också anmäla sig till den förteckning över aktörer som förs av Cybersäkerhetscentret, som lyder under Traficom. Reformen medför till exempel också att aktörerna skiljs åt från aktörer som är centrala och viktiga med tanke på samhället.
NIS2-direktivet gäller endast stora företag inom kritisk infrastruktur.
Fiktion. NIS2-direktivets tillämpningsområde är omfattande och omfattar också små och medelstora företag, om de är kritiska med tanke på samhällets ekonomiska funktion eller säkerhet. Det tidigare direktivet omfattade främst stora aktörer inom kritiska sektorer. Aktörerna är indelade i centrala och viktiga aktörer i regleringen beroende på deras storlek, bransch och kritiska karaktär. Branscherna och hur aktörens storlek inverkar på regleringen finns i Traficoms Cybersäkerhetscenters tabell (på finska).
NIS2-direktivet medför inga ändringar jämfört med det föregående direktivet eller markstationslagen, utan utvidgar endast tillämpningsområdet.
Fiktion. I sin helhet är NIS2-direktivets bestämmelser mer detaljerade än markstationslagen. En av de viktigaste ändringarna är att NIS2 ställer delvis strängare krav på informationssäkerhetsåtgärder och rapporteringsskyldigheter. Det nya direktivet medför riskhanterings- och rapporteringsskyldigheter som stärker cybersäkerheten för de sektorer som identifierats som kritiska. Mer information om dessa finns på Cybersäkerhetscentrets webbplats.
För detta ändamål har Traficom öppnat ett anmälningssystem för aktörerna, som aktörerna ska anmäla sig till. Aktörerna ska säkerställa att kraven för genomförandet av direktivet uppfylls.
Aktörerna ska göra en första anmälan om cyberincidenter inom ett dygn, en andra anmälan ska göras inom 72 timmar och slutrapporteringen om incidenten ska göras inom en månad. Rapporteringsskyldigheten gäller cyberincidenter som äventyrar eller orsakar allvarliga störningar i aktörens tjänster eller aktörens kunder. Skyldigheten att rapportera incidenter är obligatorisk, men frivillig rapportering är också önskvärt för aktörer som inte omfattas av regleringen eller för situationer som var nära.
Tillsynsmyndigheterna kan sanktionera dem som försummar att följa direktivet.
Fakta. Om en aktör försummar skyldigheterna eller kraven i NIS2-direktivet, kan en sektorsvis uppdelad tillsynsmyndighet, till exempel i fråga om markstationsverksamhet Traficom, föreslå sanktioner för aktören. Sanktionen kan uppgå till upp till 10 miljoner euro eller 2 % av företagets totala omsättning. Den administrativa påföljdsavgiften påförs staten. I extrema situationer kan de tjänster eller funktioner som aktören tillhandahåller avbrytas.
Markstationsförvaltare behöver förbereda sig på kraven endast genom att investera i ny teknik.
Fiktion. Det är sant att beredskap för nya krav också kan inbegripa investeringar i ny teknik, men också satsningar på personalutbildning och kontinuerlig uppföljning av cybersäkerheten. Företagen ska i första hand göra en heltäckande bedömning av sin egen cybersäkerhetssituation och säkerställa att de uppfyller de nuvarande kraven. Det är också viktigt att följa Traficoms kommunikation med tanke på eventuella hot och bekanta sig med processen och rapporteringssystemet för NIS2-incidenter. Kritiska aktörer blir inte ensamma när de förbereder sig för och iakttar regleringen, utan Cybersäkerhetscentret vid Transport- och kommunikationsverket Traficom stöder organisationerna i att upprätthålla och utveckla sin informationssäkerhet med hjälp av olika tjänster, bl.a. lägesbildsprodukter. I egenskap av tillståndsmyndighet för markstationsverksamheten ger Traficom kunderna inom markstationsverksamheten råd i sin helhet.
Cybersäkerhetscentret är CSIRT-enhet i Finland.
Fakta. Enheten som reagerar på och utreder kränkningar av informationssäkerheten (Computer Security Incident Response Team) verkar vid Traficoms Cybersäkerhetscenter. Markstationsaktören rapporterar information om cyberhot eller cyberattacker till Traficom och Traficom vidarebefordrar sedan informationen till CSIRT-enheten. Den ska utan dröjsmål ge aktören ett svar med hjälp och anvisningar i fall av betydande incidenter, om aktören begär det. Cybersäkerhetscentret är också samordnare för Europa. Det är också skäl att notera att aktörer som omfattas av regleringen och även aktörer som står utanför den frivilligt kan anmäla ”nära”-situationer eller andra cyberhot. Mer information om rapporteringsskyldigheten finns också på Cybersäkerhetscentrets webbplats. I markstationslagen finns också en rapporteringsskyldighet utanför NIS2-direktivets bestämmelser bl.a. i fråga om rapportering av händelser som hänför sig till utlämnande av data eller den nationella säkerheten.
Tillsynsmyndigheten utarbetar en verksamhetsmodell för riskhanteringen inom cybersäkerheten för aktören.
Fiktion. Förenklad riskhantering kan sammanfattas så att aktören ska ha en verksamhetsmodell för hantering av cybersäkerhetsrisker för att skydda kommunikationsnät och informationssystem och deras fysiska omgivning. I riskhanteringen fastställer och genomför aktören själv de åtgärder som behövs, och tillsynsmyndigheten övervakar detta på risk- och helhetsbasis. Traficom har också i egenskap av tillsynsmyndighet bemyndigande att meddela närmare föreskrifter om riskhanteringen i fråga om markstationsverksamheten. Syftet med föreskrifterna är att hålla de omständigheter som hänför sig till aktörernas riskhantering aktuella och att beakta markstationsverksamhetens särdrag.
Bestämmelserna i NIS2-direktivet ökar företagens kostnader, men höjer inte cybersäkerhetsnivån.
Fiktion. De krav som NIS2-direktivet ställer kan dock i initialskedet innebära merkostnader för företagen när de blir tvungna att uppdatera sina cybersäkerhetsåtgärder så att de motsvarar de nya reglerna. Det är dock viktigt att inse att dessa investeringar är nödvändiga för att garantera långsiktig säkerhet och överensstämmelse. I slutändan handlar det inte bara om extra kostnader, utan om en investering i en framtid där företagen kan agera säkrare och tillförlitligare.
NIS2 är ett viktigt steg mot en högre cybersäkerhetsnivå i Europa. Den stärker och skapar grunden för en allt hållbarare och tryggare kritisk infrastruktur vars skydd är av största vikt ur säkerhetssynpunkt. Direktivet förbättrar nivån på samarbetet och informationsutbytet mellan organisationerna, vilket gör det möjligt att snabbare reagera på nya hot. Beredskapen görs med hjälp av gemenskapsarbete och Traficom ger stöd till aktörerna på detta område. På lång sikt kommer dessa åtgärder inte bara att skydda enskilda företag utan också stärka den ekonomiska och sociala stabiliteten i hela EU i denna instabila värld.
Skribenten Jaakko Laamanen har arbetat i Traficoms Digitala sammanhang med planeringen av NIS2- och markstationerna sommaren 2024. Artificiell intelligens har använts vid skrivning och illustration.
Mer information:
Transport- och kommunikationsverket Traficom, e-post: [email protected]
Källor:
Europaparlamentets och rådets direktiv (EU) 2022/2555
Transport- och kommunikationsverket: Cybersäkerhetsenhet - NIS2
Regeringens proposition RP 57/2024 rd
Statsrådet: Regeringens proposition med förslag till genomförande av cybersäkerhetsdirektivet
Bilderna är gjorda med artificiell intelligens; övre bild: Adobe Stock, nedre bild: ChatGPT