NIS2-direktivet setter nye krav til cybersikkerhet i EU, med et tydelig fokus på å beskytte kritisk infrastruktur. Dette gjelder alle enheter som er koblet til nettverket – også mobile enheter. For bedrifter betyr dette et skifte fra en reaktiv til en proaktiv tilnærming til sikkerhet. Mobile enheter må ikke havne i skyggen av andre sikkerhetstiltak, understreker Pontus Palmgren, Product Owner – App Management i Techstep.
Kort tid etter årsskiftet trer NIS2 i kraft – EU-direktivet som skal styrke sikkerheten i kritisk infrastruktur og digitale tjenester. Sektorer som energi, transport, helsevesen og digital infrastruktur omfattes av direktivet, og kravene går langt utover tradisjonelle datanettverk. Bedrifter som har kunder i disse sektorene, må også forholde seg til NIS2 og vil merke endringene. Det betyr at også leverandører til disse bransjene må være forberedt på de nye sikkerhetskravene. Mobiltelefoner, nettbrett og andre mobile enheter som håndterer bedriftsdata er nå i søkelyset, og konsekvensene av dårlig håndtering kan bli alvorlige, sier Pontus.
– Mange tenker kanskje at NIS2 bare handler om IT-systemer og datamaskiner, men direktivet gjelder også mobile enheter, som blir en stadig viktigere del av den daglige driften i bedrifter. Dette er viktig å være klar over, selv for mindre selskaper, da man kan bli berørt hvis man leverer tjenester til en virksomhet som omfattes av NIS2.
Med NIS2 er sikkerheten rundt mobile enheter viktigere enn noensinne. De har også blitt en stadig mer vanlig inngangsport for cyberangrep, delvis fordi stadig mer bedriftsdata lagres og brukes på dem. Ifølge en studie fra Verizon oppga 62 % av organisasjonene som hadde rapportert en sikkerhetshendelse at den hadde en «betydelig» innvirkning på virksomheten deres, og mobile enheter spilte en sentral rolle i mange av disse angrepene.
– Mobile Device Management (MDM) alene er ikke nok til å beskytte mot avanserte angrep som phishing eller sårbarheter i nettverket, understreker Krister Jensen, Product Owner, UEM & Mobile Endpoint Security hos Techstep, og fortsetter:
– Mobiltelefoner inneholder i dag samme type sensitiv informasjon som bærbare datamaskiner, men brukes ofte både privat og profesjonelt. Uten kontroll over hvilke apper som installeres, og med stadige tilkoblinger til usikre nettverk, blir de langt mer sårbare, og risikoen for innbrudd og datatap øker betraktelig. Mobiltelefoner blir dermed en sårbarhet som må tas på alvor.
En av de største endringene NIS2 fører med seg, er behovet for en mer proaktiv sikkerhetsstrategi. Å beskytte mobile enheter krever mer enn bare muligheten til å slette en mistet enhet. Organisasjoner må implementere målrettet beskyttelse for mobile enheter, som et Mobile Threat Defense (MTD)-verktøy, for å tette sikkerhetshullene MDM ikke dekker. For å oppfylle NIS2-kravene for nettverkskoblede enheter, må virksomheter ha kapasitet til å forebygge, oppdage, håndtere og rapportere sikkerhetshendelser.
– Det holder ikke lenger å sitte og vente på at noe skal skje. Med NIS2 må du være proaktiv og kunne oppdage cyberangrep i sanntid. Det handler om å sikre at du har de riktige verktøyene og prosessene på plass, slik at du kan reagere raskt hvis et angrep skjer, understreker Pontus.
Les mer: Den nye digitale generasjonens forventninger til mobil teknologi
Bedrifter som ikke følger NIS2, risikerer ikke bare bøter på opptil 10 millioner euro eller 2 % av omsetningen, men også skader på merkevaren og svekket tillit fra kundene. I verste fall kan sensitiv informasjon eller kundedata havne i feil hender, noe som kan få store konsekvenser.
– Det handler ikke bare om å unngå bøter, men om å beskytte det som virkelig betyr noe: dataene og tilliten fra kundene. Å ta cybersikkerhet på alvor er en nødvendighet, ikke et valg, avslutter Krister.
Techstep har utviklet Mobility Security Health Check – et smart konsept som gir deg en tydelig oversikt over sikkerheten til bedriftens mobile enheter. Med dette verktøyet kan IT-avdelingen raskt og enkelt forbedre både sikkerheten og håndteringen av mobile enheter.
Denne artikkelen er basert på NIS2-direktivet slik det er implementert i EU, og vil gjelde i hele EØS. I Norge gjelder Digitalsikkerhetsloven, vedtatt i desember 2023, som bygger på NIS1 og inkluderer enkelte elementer fra NIS2. Derfor kan noen av kravene og tiltakene som beskrives her variere for norske virksomheter.