Uppfyller er webbsida NIS2?

Så möter ett proprietärt CMS de nya europeiska cybersäkerhetskraven

Digitaliseringen fortsätter i rasande fart, samtidigt som cyberhoten blir mer avancerade. För att skydda samhällskritiska funktioner och digitala tjänster inför EU nu NIS2-direktivet, en kraftig uppstramning av reglerna för cybersäkerhet.
Det påverkar inte bara stora aktörer inom energi, vatten och sjukvård – utan även de digitala leverantörer som bygger och driftar deras webbplatser och system.

I den här artikeln tittar vi på vad NIS2 innebär och varför Site Server CMS, med sin stängda och kontrollerade arkitektur, ger ett starkt säkerhetsfundament för organisationer med höga krav.

Vad är NIS2?

NIS2 är EU:s nya regelverk som skärper säkerhetskraven för både offentliga verksamheter och privata aktörer inom viktiga sektorer. Direktivet:

• utökar antalet verksamheter som måste följa lagen

• introducerar tydligt ledningsansvar

• kräver omfattande riskhantering och dokumentation

• skärper kraven på leverantörskedjan

• inför strikta regler för incidentrapportering

Syftet är att skapa ett säkrare och mer motståndskraftigt digitalt Europa.

NIS2 ställer hårda krav på digitala leverantörer

En av de viktigaste nyheterna i NIS2 är att organisationer ansvarar inte bara för sin egen säkerhet, utan även för sina leverantörers.
Det betyder att webb-, hosting- och CMS-leverantörer måste kunna uppvisa:

• säker utvecklingsprocess

• robust driftmiljö

• spårbarhet och åtkomstkontroll

• dokumenterade rutiner

• möjlighet att bistå vid incidenter

Med andra ord: valet av CMS-plattform har aldrig varit viktigare.

Site Server CMS – byggt för stabilitet och säkerhet

Site Server är ett proprietärt CMS, vilket innebär att källkoden inte är open source.
Detta är en fundamental styrka ur ett säkerhetsperspektiv.

Till skillnad från öppna system vars kodbas är synlig och kan granskas av både legitima aktörer och angripare, är Site Servers kod kontrollerad och skyddad. Det minskar risken för:

• massutnyttjade sårbarheter

• automatiserade attacker mot kända kodrader

• exploateringar som sprids snabbt i communityn

Den stängda arkitekturen innebär också att säkerhetsuppdateringar sker kontrollerat och effektivt, utan att tredje part manipulerar eller modifierar kodbasen.

Hur Site Server stödjer NIS2-kraven

1. Riskhantering och stabil kodbas

Eftersom Site Server inte är open source exponeras inte plattformens inre funktioner för allmänheten.
Det minskar attackytan och förenklar riskhantering – ett av grundkraven i NIS2.

2. Åtkomstkontroller och spårbarhet

Site Server erbjuder robust hantering av:

• roller

• behörigheter

• individuella konton

• loggning av administratörsåtgärder

Detta stödjer kraven på spårbarhet, least privilege och dokumenterad åtkomstkontroll.

3. Säker utvecklingsprocess

Utvecklingen av Site Server-komponenter sker:

• med kodgranskningar

• strukturerade testflöden

• tydlig versionering

• kontrollerad releasehantering

Detta ligger helt i linje med NIS2:s krav på säker utveckling och livscykelhantering.

4. Robust drift och härdad servermiljö

Site Server används ofta i miljöer där:

• separata utvecklings-, test- och produktionsmiljöer

• härdade servrar

• övervakning och loggning på flera nivåer

• regelbunden patchning

• krypterad trafik via HTTPS/TLS

är standard.
Detta gör plattformen väl lämpad för verksamheter med höga tillgänglighetskrav.

5. Leverantörskedja och kontroll

Med NIS2 omfattas inte bara plattformen – utan hela kedjan av:

• drift

• utveckling

• hosting

• support

• underleverantörer

Site Server implementeras alltid tillsammans med en klar och spårbar leverantörsstruktur, vilket gör det enklare för verksamheter att uppfylla NIS2:s krav på tredjepartshantering.

6. Incidenthantering

Eftersom plattformen är proprietär har leverantörer tydliga kanaler för:

• snabb analys vid incident

• kontrollerad distribution av patchar

• stöd till kunder vid NIS2-rapportering

Detta skiljer sig från open-source-miljöer där incidentansvar ofta är splittrat mellan många parter.

NIS2 och Site Server – en framtidssäker kombination

Organisationer med höga krav på säkerhet behöver system som är:

• stabila

• kontrollerade

• spårbara

• möjliga att revidera

• säkra ur ett leverantörsperspektiv

Site Server CMS uppfyller dessa krav på ett sätt som gör plattformen särskilt lämpad för verksamheter som omfattas av NIS2 – såsom energi, offentlig sektor, infrastruktur och kritiska tjänster.

Sammanfattning

NIS2 förändrar spelreglerna för digital säkerhet i Europa.
Verksamheter måste inte bara säkra sina egna system, utan även välja leverantörer och plattformar som håller en säkerhetsnivå i linje med direktivet.

Site Server CMS är ett starkt val därför att:

• det inte är open source, vilket minskar attackytan

• det är byggt med fokus på stabilitet och säkerhet

• det erbjuder starka åtkomst- och logghanteringsfunktioner

• det passar driftmiljöer med höga säkerhetskrav

• det stödjer strukturerade utvecklings- och incidentrutiner

• det förenklar efterlevnad av NIS2 för både kund och leverantör

När cybersäkerhet blir en strategisk fråga är val av CMS inte bara teknik – det är riskhantering.

Hårdare straff

I samband med dessa nya konsumenträttsliga regler infördes hårdare straff för de som bryter mot reglerna. Den nya “marknadsstörningsavgiften” liknar den avgift som gäller för brott mot GDPR. Som lägst kan marknadsstörningsavgiften bestämmas till 10 000 kr och som högst 10 % av näringsidkarens årsomsättning.

Vi på Internetmedia tycker det är tråkigt att man gett näringslivet kort tid att anpassa sin verksamhet efter de nya reglerna. Detta speciellt då de nya reglerna är otydliga samtidigt som vägledning från konsumentverket dröjt och inte kommit förrän två månader efter att lagarna trätt i kraft.

Därtill kräver prishistoriken en ganska komplicerad lösning rent tekniskt. För många e-handlare är det troligtvis också svårt att förklara hur en sökfunktion rankar sökträffar på webbplatsen om handlaren inte själv varit med i att utveckla programvaran. Det är alltså både svårt att lista ut vad som är rätt enligt lagstiftningen och när man väl listat ut det är det svårt att genomföra.

• Måste tidigare lägsta pris alltid redovisas?

Nej, kravet gäller bara för varor som utger sig för att vara till försäljning till ett lägre pris. Det kan röra sig om uttryckliga prissänkningar, så som ett pris nedsatt med en viss procent eller ett visst belopp. Men det kan även röra sig om en rea, alltså produkter som under en begränsad tid säljs till ett kampanjpris, ”Black Friday-pris” eller helt enkelt ett reapris. Om priset däremot bara utges för att vara ett generellt bra pris eller lågt jämfört med ett rekommenderat pris behöver inte ett lägsta senaste pris redovisas.

• Var är ett rekommenderat pris?

Rekommenderat pris är det pris som tillverkaren eller leverantören av en vara rekommenderar att säljaren eller återförsäljaren ska sälja varan för. Det är alltså ett förslag på försäljningspris. På konsumentverkets hemsida kan du läsa om vad som gäller för rekommenderade priser.

• Måste tidigare lägsta pris visas för alla typer av varor?

Nej, försäljare behöver inte redovisa senaste lägsta pris för varor som snabbt försämras eller blir gamla. Vidare gäller prisinformationslagen när företag säljer till konsument. Vid försäljning näringsidkare emellan, så kallad ”buissness to buissness”, gäller inte samma regler och informationskrav.

• Vad menas med "tidigare lägsta pris"?

Priset anger det lägsta priset som en vara haft under en period upp till 30 dagar innan produktens pågående rea. Om du har en rea som pågår i 25 dagar räknar man 30 dagar bakåt i tiden från den dagen reapriset sattes. Man räknar alltså inte från dagens datum utan ifrån datumet då det nya priset sattes. Således kan det senaste lägsta priset i detta exempel vara ett pris som inte varit aktuellt i upp till 55 dagar, (25 + 30).

• Vad gäller vid gradvisa prissänkningar?

Om priset sänkts flera gånger under en vis tid ska det pris som gällde innan den första prissänkningen redovisas. Vi har inte hittat vidare upplysningar om hur exakt detta ska göras, men hoppas att konsumentverket kommer presentera vidare vägledning under våren.

Så här tänker vi för våra webbkunder

Vårt mål på Internetmedia är att göra det enkelt för företagare i Sverige att digitalisera och finnas på webben. Därför bedriver vi omvärldsbevakning och utvecklar våra produkter i dialog med våra kunder för att möta deras behov. Under hösten har SiteServer tillsammans med Internetmedia succesivt lanserat uppdateringar för webshopsmodulen i syfte att göra det enkelt för våra kunder att följa de nya reglerna.

Uppdateringarna i webshopsmodulen:

• Information om senaste lägsta pris redovisas nu automatiskt vid reor.
• Fullständig prishistorik för produkter finns tillgängligt på webshopsmodulens administrationsidor. Råkar man lägga in ett felaktigt pris går det att ångra.
• Nytt stöd för att hantera och presentera rekommenderade priser.
• Sökmodulen presenterar träffar på produkter med text som förklarar hur urval och rankning av träffar går till.

Är du intresserad av hur en tillämpning av 7 a § PIL kan se ut kan du eventuellt hitta en pågående kampanj på kläder och skor hos vår kund Min Källare.

På Kool Outlet hittar du bra priser på möbler och sängar, de jämför sina pris mot rekommenderade försäljningspriser.

Det finns fortsatt mycket som vi vill utveckla i webshopen och vi ser fram emot en fortsatt dialog med våra kunder om hur vi ska utveckla webbshopen. Under våren kommer vi speciellt följa och bevaka tillämpningen de nya konsumenträttsliga reglerna.