FAKTUROR OCH FINANS
SÄKERHET
CIRKULATION OCH ARKIVERING AV DOKUMENT
E-COMMERCE
ANALYTIK
MARKNADSFÖRING
DIGITALISERING AV INNEHÅLL
Från reglering till handling - NIS2 i affärssystemets ekosystem
NIS2-direktivet (Network and Information Security Directive 2) är en EU-lagstiftning som fastställer gemensamma cybersäkerhetsstandarder för EU:s medlemsländer. Det ersätter det tidigare NIS-direktivet från 2016, utvidgar tillämpningsområdet för reglerade enheter och inför strängare krav på riskhantering, incidentrapportering och styrelseansvar.
NIS2 höjer ribban när det gäller hantering av cybersäkerhet, riskhantering och rapportering i hela Europeiska unionen.
Ta reda på hur Lukardi och Pathlock-plattformen - som inkluderar Application Access Governance (AAG), övervakning av kontinuerliga kontroller (CCM) och Cybersecurity Application Controls (CAC) för SAP - kan hjälpa dig att uppfylla kraven NIS2-direktiv genom att implementera förebyggande, upptäckande och reaktiva kontroller direkt i affärskritiska applikationer.
.
Varför är ERP-system viktiga i samband med NIS2?
De stöder viktiga affärsprocesser.
De lagrar känsliga kommersiella och operativa uppgifter samt personuppgifter.
Privilegierad åtkomst innebär en hög risk för bedrägerier, dataläckage och driftstopp.
Ändringar i applikationer kan medföra sårbarheter som undergräver efterlevnaden av lagar och regler.
Insamling och analys av tekniska ERP-data (telemetri) är avgörande för att snabbt kunna upptäcka risker och uppfylla rapporteringskraven.
Viktiga ansvarsområden och krav för riskhantering (NIS2)
- Godkännande av cybersäkerhetsåtgärder av styrelsen.
- Regelbunden utbildning för beslutsfattare.
- Övervakning och ansvar för implementering inom affärs- och IT-områden.
- Identitets- och åtkomsthantering.
- Säker konfiguration, nätverkssegmentering, nolltoleransmetoder.
- Gap- och patchhantering, säker mjukvaruutveckling och förändringshantering.
- Hotdetektering, respons och kontinuitetsplanering (runbooks, säkerhetskopior).
- Riskhantering i leveranskedjan och deltagande i samordnad rapportering av sårbarheter.
- Tidig rapportering inom 24 timmar efter upptäckt av en betydande incident.
- Incidentrapportering inom 72 timmar med inledande bedömning och indikatorer på kompromettering (om sådana finns).
- Slutrapport inom 1 månad; lägesrapporter för pågående incidenter.
- Riktade revisioner, säkerhetsskanningar, begäran om bevis, bindande instruktioner från tillsynsmyndigheter.
- Administrativa påföljder: upp till 10 miljoner euro eller 2% av den globala omsättningen för väsentliga enheter eller upp till 7 miljoner euro eller 1,4% av den globala omsättningen för viktiga enheter - för överträdelser av artiklarna 21 och 23.
Verktyg - hur Pathlock och Lukardi stöder implementeringen av NIS2
Cybersecurity Application Controls (CAC) för SAP
Detta område behandlar implementeringen av kontroller för förebyggande och upptäckt i SAP-miljön för att stödja NIS2-efterlevnad.
Viktiga moduler:
- Upptäckt och hantering av risker: Mer än 1.500 detekteringssignaturer (definierade potentiellt bedrägliga händelser) baserade på mer än 70 SAP-loggkällor; kontinuerlig övervakning och automatiska varningar.
- Hantering av sårbarheter: Över 4.000 konfigurationskontroller, automatisk skanning och prioritering av korrigeringar för att stärka systemet.
- Skanning av kod: Kontinuerlig analys av ABAP-kod med över 150 kontroller i utvecklings- och produktionsmiljöer.
- Transportkontroll: Kontinuerlig kontroll och automatisk blockering av riskfyllda transporter för att förhindra att känsliga förändringar genomförs i produktionen.
- Dynamisk åtkomstkontroll (ABAC för SAP): Datamaskning, anonymisering av testdata och policybaserade kontroller som förhindrar obehörig dataexport och begränsar transaktioner i sitt sammanhang.
Automatiska svarsmekanismer (SOAR) i CAC
Med hjälp av detta område kan vi automatisera responsen på kritiska händelser i systemet.
- Aktivering av automatiska motåtgärder (t.ex. blockering av riskfyllda transporter) när högriskmönster upptäcks.
- Överföring av berikade hothändelser till SIEM-systemet för att underlätta prioritering av händelser och eskaleringsprocessen.
- Tillämpa policybaserade begränsningar i realtid med hjälp av ABAC för att minska omfattningen av hotet under en aktiv incident.
- Generera revisionsfärdiga rapporter som dokumenterar upptäckter, vidtagna åtgärder och status - med stöd för NIS2-kompatibel rapportering: 24 timmar / 72 timmar / 1 månad.
Styrning av programåtkomst (AAG)
Åtkomsthantering - den här modulen hjälper företaget att kontrollera vem som har åtkomst till vad i ERP-system (t.ex. SAP, Oracle).
Dess huvudsakliga funktioner:
- Den kontrollerar att någon inte har för stora befogenheter - t.ex. tillgång till att godkänna fakturor och skapa leverantörer på samma gång (detta kan leda till missbruk).
- Kartläggning av behörighetskonflikter mellan system (cross-system SoD) - t.ex. att skapa en leverantör i S/4 ERP och att skapa en order och initiera ett köp i Ariba.
- Den simulerar "tänk om"-scenarier - t.ex. vad som händer om en viss anställd får nya rättigheter.
- Raderar automatiskt onödiga konton - t.ex. när en anställd slutar.
- Hanterar tillfällig åtkomst (brandman) - t.ex. ger åtkomst endast under en nödsituation och tar sedan bort den.
Kontinuerlig övervakning av kontroller (CCM)
Kontinuerlig övervakning av revisioner. Den här modulen övervakar om alla säkerhetsregler följs och hjälper till att förbereda för revisioner.
Vad gör CCM?
- Samlar bevis för att företaget använder lämpliga skyddsåtgärder.
- Den visar vilka problem som är mest ekonomiskt farliga - till exempel vilka misstag som kan kosta mest.
- Det skapar rapporter och diagram för att underlätta revisionsförberedelser och efterlevnad av olika regelverk (t.ex. NIS2, ISO, SOX).
Exempel på användningsscenarier för Pathlock-verktyg mot NIS2
Plattform | NIS2 omfattning | Exempel på tillämpning av Pathlock |
SAP S/4HANA / ECC | Artikel 21 (härdning), artikel 23 (rapportering) | CAC blockerar automatiskt riskfyllda transporter och genererar berikade varningar till SIEM. ABAC begränsar åtkomsten till känsliga transaktioner under en incident, |
Oracle ERP (Cloud/EBS) | Artikel 21 (tillträdeskontroll) | AAG förhindrar SoD-konflikter mellan modulerna "Åtaganden" och "Inköp"; JIT-åtkomst möjliggör nödoperationer utan att lämna permanenta administrativa rättigheter. |
Microsoft Dynamics 365 (F&SCM) | Artikel 21 (konfigurationsövervakning), artikel 32 (övervakningsbevis) | CCM övervakar kritiska konfigurationsändringar och uppskattar potentiella ekonomiska förluster; rapporter med "ett klick" ger kompletta bevisuppsättningar för revisioner. |
Arbetsdag | Artikel 20 (förvaltning) | Periodisk certifiering av åtkomst till HR- och löneroller; automatisk borttagning av konton som inte är godkända som bevis på ledningens tillsyn. |
Salesforce | Artikel 21 (tillgång till uppgifter) | Tillhandahållande av integrationsanvändare enligt gällande regelverk; SoD-regler mellan applikationer förhindrar kombinationer som möjliggör massexport och missbruk av reglerad data. |
Rekommendationer och nästa steg - hur man implementerar NIS2 med Pathlock och Lukardi
Etapp 1
Ledningen bör involveras från början av projektet för att säkerställa NIS2-överensstämmelse. I början ska de som ansvarar för säkerheten inom ERP-området (t.ex. SAP, Ariba, Oracle) utses.
Etapp 2
Detta följs av införandet av en uppsättning kontroller i linje med artiklarna 21-23 i NIS2. För detta ändamål kommer CCM-modulen, som underlättar insamling av bevis på efterlevnad i olika system med beaktande av riskanalys, att vara användbar.
Etapp 3
För att säkerställa att principen om tillgång med minsta möjliga privilegier (dvs. minimiåtkomst som standard) uppfylls kan ett AAG-verktyg användas, vars huvuddrag är kontroll över SoD-regler (Separation of Duties), tillfällig åtkomst (JIT) eller genomförande av kvartalsvisa åtkomstgranskningar.
Steg 4
Det tekniska skiktet för att säkerställa en adekvat säkerhetsnivå för SAP innebär att man justerar både konfigurationen och implementeringen av övervakningen. Denna tråd implementeras av CAC-modulen i SAP. Den tillhandahåller kontinuerlig hotdetektering, automatisk transportblockering, ABAC-policyer, sårbarhetshantering kopplad till ändringsfönster.
Steg 5
Nästa steg är att förbereda scenarier för incidentrapportering, t.ex. genom integration med SIEM. Detta stöder den automatiska insamlingen av data för rapporter. Kom ihåg att du har 72 timmar på dig att rapportera en incident med inlämning av de grundläggande delarna av analysen.
Etapp 6
Använd god praxis för att förbereda miljöerna för NIS2-kraven. De från antingen ISACA (COBIT, CISM, CRISC) eller ISC2 (CISSP) hjälper dig att hantera risker, säkerställa kontroll och svara på incidenter.
Varför är genomförandet av NIS2-direktivet viktigt för företagen?
Minimera risken för cyberattacker
NIS2 upprätthåller implementeringen av säkerhetsstandarder som minskar sårbarheten för ransomware-attacker, nätfiske eller dataläckage - vilket skyddar kontinuiteten i verksamheten.
Efterlevnad av lagar och undvikande av påföljder
Direktivet innebär rättsliga förpliktelser. Underlåtenhet att implementera kan leda till höga ekonomiska sanktioner och anseenderelaterade sanktioner.
Skapa förtroende hos partnern
Att uppfylla NIS2-kraven visar att organisationen tar säkerhet på allvar, vilket ökar trovärdigheten hos entreprenörer och på marknaden.
Ökad motståndskraft hos företagen
Att implementera NIS2 handlar inte bara om efterlevnad - det är en investering i processtabilitet och kontinuitet, vilket skyddar mot kostsamma driftstopp och förluster.
Frågor och svar
1 Varför är NIS2-direktivet viktigt för företag i Polen?
NIS2 syftar till att höja nivån på cybersäkerheten i hela EU. I Polen innebär detta en skyldighet att införa rutiner och teknik för att skydda sig mot cyberattacker, vilket är avgörande med tanke på det ökande antalet incidenter och hot mot kritisk infrastruktur.
2. Sedan när har NIS2 varit i kraft i Polen?
Direktivet trädde i kraft i EU i januari 2023 och medlemsstaterna var tvungna att genomföra det senast den 17 oktober 2024. I Polen genomförs bestämmelserna som en del av ändringen av lagen om det nationella cybersäkerhetssystemet, som ska träda i kraft från 2025.
3 Vem omfattas av NIS2?
NIS2 omfattar främst företag inom nyckelsektorer (energi, transport, hälsa, bank, digital infrastruktur) och viktiga sektorer (posttjänster, avfallshantering, livsmedelsproduktion, IKT-leverantörer). Kriterium: mer än 50 anställda eller omsättning >10 miljoner euro.
4 Vilka är de viktigaste skyldigheterna enligt NIS2?
De viktigaste skyldigheterna enligt NIS2-direktivet är följande:
- Hantering av IT-risker
- Procedurer för hantering av incidenter
- Säkerställa kontinuitet i verksamheten
- Riskbedömning i leveranskedjan
- MFA, kryptering, åtkomstkontroll
- Säkerhetsrevisioner och tester
- Utbildning för anställda
5. Vad är incidentrapporteringsprocessen?
- 24h - första ansökan
- 72h - huvudrapport
- 30 dagar - slutrapport med analys och korrigerande åtgärder
6. Vilka är påföljderna för bristande efterlevnad av NIS2?
- Nyckelaktörer: upp till 10 miljoner euro eller 2% global omsättning
- Berörda enheter: upp till 7 miljoner
I Polen dessutom upp till 100 miljoner PLN vid allvarliga överträdelser.
7 Gäller NIS2 för småföretag?
Nej, såvida de inte är verksamma inom kritiska sektorer (t.ex. DNS-tjänsteleverantörer, molntjänster). Omfattar normalt medelstora och stora företag.
8 Hur förbereder man ett företag för NIS2?
- Säkerhetsrevision
- Policyer och rutiner för cybersäkerhet
- Utbildning av anställda
- Mekanismer för rapportering av incidenter
- Riskbedömning i leveranskedjan
9. Hur samverkar NIS2 med RODO och DORA?
NIS2-kraven måste vara förenliga med RODO (dataskydd) och DORA (operativ motståndskraft inom finanssektorn). Företagen måste undvika konflikter mellan olika regelverk.
10 Varför implementera NIS2 nu?
Tidig driftsättning minskar risken för cyberattacker, undviker straffavgifter och skapar konkurrensfördelar genom bättre säkerhet.
Dina behov,
vårt stöd.
Låt oss prata
Dina behov, vårt stöd.
Låt oss prata
Dina behov, vårt stöd. Låt oss prata om det
