NIS2-direktivet pålegger både virksomheter og myndigheter å ta ansvar for sin egen cybersikkerhet. Dette gjør de gjennom å iverksette tekniske og organisatoriske tiltak som kan håndtere risikoene som truer systemene deres. Samtidig innfører direktivet strengere krav enn tidligere til ledelsesansvar og til sikkerhet i leverandørkjeden i de sektorene som omfattes av direktivet.
Videre i teksten finner du en kort oversikt over trinnene organisasjonen din må ta for å sikre NIS2-compliance. Om tiltakene blir iverksatt og omfavnet av ledelsen fra start, blir det ikke bare en lovpålagt plikt som organisasjonen skal utføre, men en mulighet for å evaluere eksisterende sikkerhetstiltak og utvikle en sterk sikkerhetskultur i hele organisasjonen.
NIS2-compliance starter hos ledelsen
NIS2-compliance begynner med ledelsens aktive engasjement og forankring i organisasjonens strategi for cybersikkerhet. Noe som bør prioriteres som en sentral del av selskapets drift og langsiktige mål. Dette betyr blant annet at ledelsen må sørge for at risikoer identifiseres og håndteres proaktivt, at de nødvendige ressursene allokeres dit de skal, og at det skapes en kultur hvor cybersikkerhet er en integrert del av alle beslutningsprosesser.
For å understreke viktigheten av lederansvar fastslår NIS2-direktivet at den øverste ledelsen skal holdes personlig ansvarlig for organisasjonens etterlevelse av kravene som NIS2 stiller. Hvis en organisasjon ikke overholder direktivet, kan konsekvensene omfatte bøter, tap av retten til å inneha en lederstilling og, i verste fall, rettslig erstatningsansvar for enkelte styremedlemmer.
I tillegg til lederansvaret stiller NIS2-direktivet også krav til virksomhetens tekniske og organisatoriske tiltak. Dette inkluderer blant annet:
- Incident management (sakshåndtering eller forespørselshåndtering)
- Sikkerhetskopiering og krisehåndtering
- Sikkerhet i forsyningskjeden
- Opplæring av ansatte
- Retningslinjer for kryptering
LES OGSÅ: NIS2-krav: Hvilke krav inneholder NIS2-direktivet?
Risikovurdering av organisasjonens verdier og ressurser
Med tilstrekkelig støtte fra ledelsen på plass er det første steget å identifisere organisasjonens viktigste verdier og ressurser, for å kunne gjennomføre en effektiv risikovurdering. Det er viktig å tenke bredt og vurdere alt fra data og prosesser til maskinvare, programvare, mennesker og andre ressurser som danner organisasjonens kunnskapsgrunnlag, som del av organisasjonens verdier.
Når de mest sentrale verdiene er definert må potensielle trusler identifiseres og vurderes ut fra sannsynligheten for at de inntreffer og de mulige konsekvensene. Avhengig av risikonivået bør det iverksettes passende tiltak, hvor ledelsens strategiske retning danner rammeverket for risikoreduserende tiltak.
Gap-analyse og handlingsplan
Når risikovurderingen er gjennomført er neste trinn å gjennomføre en gap-analyse for å identifisere forskjeller mellom organisasjonens nåværende sikkerhetstiltak og kravene som stilles i NIS2-direktivet. Gap-analysen er en systematisk sammenligning av organisasjonens interne kontroller og retningslinjer opp mot NIS2. Fremgangsmåten kan være som følger:
- Identifisere kravene i NIS2
- Kartlegge eksisterende kontroller
- Sammenligning og identifisering av feil og mangler
- Prioritering for utbedring av feil og mangler
- Utarbeide en handlingsplan
Handlingsplanen bør være basert på et tydelig og realistisk ambisjonsnivå for cybersikkerhet. Disse skal gjenspeile organisasjonens risikoprofil, teknologiske kapasitet og de spesifikke utfordringene den står overfor. Det er også viktig å være klar over at gap-analysen ikke er en engangsoppgave, men en kontinuerlig prosess som må gjentas etter hvert som organisasjonens risikobilde endrer seg.
Innlemmelse av NIS2 i det eksisterende compliance-arbeidet
En effektiv implementering av NIS2-direktivet krever en integrert tilnærming hvor de nye kravene innlemmes i organisasjonens eksisterende compliance-strukturer og -prosesser. Mange organisasjoner har allerede implementert rammeverk som ISO 27001, CIS18 eller GDPR, som gjerne kan fungere som et godt grunnlag for å lykkes med kravene i NIS2.
Både NIS2 og GDPR krever for eksempel at organisasjoner har klare prosedyrer både for datahåndtering og håndtering av sikkerhetsbrudd. Ved å integrere kravene i en enhetlig plan for sakshåndtering kan organisasjoner sikre compliance opp mot begge regelverk på en effektiv måte.
Konkrete tiltak for integrering av NIS2
Følgende trinn er et godt utgangspunkt for integrering av NIS2-kravene på en effektiv måte med eksisterende compliance-arbeid:
1) Kartlegging av eksisterende prosesser
Begynn med å kartlegge hva som allerede er på plass når det gjelder informasjonssikkerhet og compliance. Dette omfatter en grundig gjennomgang av eksisterende retningslinjer, prosedyrer og kontroller.
2) Identifisering av overlapp
Identifiser områder hvor NIS2-kravene overlapper med andre regelverk, for eksempel GDPR eller CIS18. Dette kan bidra til å skape bedre synergier og sikre at ressursene brukes mer effektivt.
3) Tilpasning av eksisterende rammeverk
Bruk eksisterende rammeverk som ISO 27001 til å veilede implementeringen av NIS2-kravene.
4) Implementering av nye kontroller
Implementer nye kontroller der hvor NIS2 ikke dekkes av eksisterende strukturer. For eksempel ved å etablere prosedyrer for sakshåndtering, leverandørstyring og regelmessige risikovurderinger.
NIS2 må være en del av kulturen
NIS2-compliance er en kontinuerlig prosess som må integreres i den daglige driften og kulturen i organisasjonen. Det handler om mer enn å implementere tekniske tiltak - det handler om å skape et sikkerhetsfokusert tankesett i hele organisasjonen.
For å forankre NIS2 i kulturen må du opprette standardiserte prosedyrer for regelmessig risikovurdering og sakshåndtering. Dette innebærer blant annet:
- En regelmessig risikovurderingssyklus hvor alle avdelinger jevnlig vurderer sikkerhetsnivået sitt og identifiserer potensielle trusler.
- En kultur for sakshåndtering hvor de ansatte får opplæring i å raskt identifisere og reagere på ulike sikkerhetshendelser, både forutsette og uforutsette.
Ansattes kunnskap og bevissthet om cybersikkerhet er avgjørende for en vellykket implementering av NIS2. Det kan være en god idé å vurdere:
- Løpende awareness-programmer som går utover de tradisjonelle e-læringsmodulene, for eksempel workshops og tilpassede treningsmoduler som tar hensyn til avdelingenes behov.
- Fremme en åpen dialog om sikkerhet, der ansatte oppfordres til å rapportere potensielle risikoer eller bekymringer uten frykt for irettesettelser.
I tillegg er det viktig å huske at truslene mot cybersikkerheten er i stadig utvikling, og det må også organisasjonens forsvarsmekanismer være. For eksempel gjennom:
- Regelmessig testing og oppdatering av sikkerhetstiltak gjennom penetrasjonstester, revisjoner og gjennomgang av retningslinjer og prosedyrer.
- En dynamisk tilnærming til oppdatering av retningslinjer, hvor endringer i trusselbildet og lovpålagte krav raskt integreres i eksisterende retningslinjer.
NIS2-direktivet bør ses på som en mulighet til å evaluere og forbedre eksisterende sikkerhetstiltak, utvikle en sterk sikkerhetskultur og fremme en kontinuerlig forbedringsprosess, slik at cybersikkerhet blir en sentral del av virksomhetens strategi.
