NIS2-direktivet kräver att företag och myndigheter tar ansvar för sin cybersäkerhet genom att införa tekniska och administrativa åtgärder som kan hantera de potentiella hot mot deras system. Direktivet inför även strikta krav på ledningens ansvar och säkerhet i leveranskedjan för de sektorer som omfattas.
Nedan följer en kort översikt över de åtgärder din organisation behöver vidta för att uppfylla NIS2-kraven. Med rätt inställning blir det inte bara en lagstadgad skyldighet, utan en möjlighet att utvärdera befintliga säkerhetsåtgärder och utveckla en stark säkerhetskultur inom hela organisationen.
NIS2-efterlevnad börjar med ledningen
NIS2-efterlevnad börjar med att ledningen aktivt engagerar sig och etablerar organisationens cybersäkerhetsstrategi, som bör prioriteras som en central del av företagets verksamhet och långsiktiga mål. Detta innebär att ledningen måste se till att risker identifieras och hanteras proaktivt, att nödvändiga resurser avsätts och att det skapas en kultur där cybersäkerhet är en integrerad del av alla beslutsprocesser.
För att understryka vikten av ledningens ansvar fastslår NIS2-direktivet att högsta ledningen kan hållas personligen ansvariga för organisationens efterlevnad av NIS2-kraven. Om en organisation inte följer direktivet kan konsekvenserna bli böter, förlust av rätten att inneha en ledande befattning och i värsta fall juridiskt ansvar för enskilda styrelseledamöter.
Utöver ledningsansvaret ställer NIS2-direktivet krav på organisationens tekniska och organisatoriska åtgärder - bland annat:
- Incidenthantering
- Backup- och krishantering
- Säkerhet i leveranskedjan
- Utbildning av anställda
- Policy för kryptering
LÄS MER: NIS2-krav: Vilka krav ställer NIS2-direktivet?
Riskbedömning av verksamhetens kritiska tillgångar
Med ledningens stöd på plats är det första steget att identifiera organisationens kritiska tillgångar för att kunna utföra en effektiv riskbedömning. Det är viktigt att tänka brett och ta hänsyn till allt från data och processer till hårdvara, medarbetare och platser.
När de kritiska tillgångarna har definierats bör potentiella hot urskiljas och bedömas utifrån sannolikheten att de materialiseras och dess möjliga konsekvenser. Därefter bör åtgärder vidtas utifrån risknivån, med stöd av ledningens strategiska riktlinjer för att minska riskerna.
Gapanalys och handlingsplan
När riskbedömningen är klar är nästa steg genomförandet av en Gapanalys som kan identifiera skillnader mellan organisationens nuvarande säkerhetsåtgärder och de krav som anges i NIS2-direktivet. Analysen är en systematisk jämförelse av organisationens kontroller och policyer med NIS2 och kan omfatta följande moment:
- Identifiering av kraven i NIS2
- Kartläggning av befintliga kontroller
- Jämförelse och identifiering av brister
- Prioritering av brister
- Utarbeta en handlingsplan
Handlingsplanen bör baseras på en tydlig och realistisk ambitionsnivå som återspeglar organisationens riskprofil, tekniska kapacitet och de specifika utmaningar den står inför. Det är också viktigt att inse att kartläggningen av brister inte är en engångsuppgift, utan en pågående process som måste upprepas, i takt med att organisationens riskbild förändras.
Inkludera NIS2 i ditt befintliga efterlevnadsarbete
En effektiv implementering av NIS2-direktivet kräver ett integrerat tillvägagångssätt, där de nya kraven anpassas i organisationens befintliga strukturer och processer för efterlevnad. Många organisationer har redan implementerat ramverk som ISO 27001, CIS18 eller GDPR och dessa kan fungera som en grund för att uppfylla NIS2-kraven.
Både NIS2 och GDPR kräver till exempel att organisationer har tydliga rutiner för datahantering och rutiner för hantering av säkerhetsöverträdelser. Genom att integrera kraven i en enhetlig incidenthanteringsplan kan organisationer säkerställa efterlevnad av båda regelverken på ett effektivt sätt.
Konkreta åtgärder vid integrering av NIS2
Följande steg är en bra utgångspunkt för en effektiv integrering av NIS2-kraven med befintligt efterlevnadsarbete:
1) Kartläggning av befintliga processer
Börja med att kartlägga vad som redan finns på plats när det gäller informationssäkerhet och efterlevnad. Detta inkluderar en grundlig genomgång av etablerade policyer, rutiner och kontroller.
2) Identifiera överlappningar
Identifiera områden där NIS2-krav överlappar med andra regelverk som GDPR eller CIS18. Detta kan bidra till att skapa möjliga synergier och säkerställa att resurser används på ett effektivt sätt.
3) Anpassning av befintliga system
Använd befintliga system som ISO 27001 för att vägleda implementeringen av NIS2-direktiven.
4) Implementera nya kontroller
Implementera nya kontroller där NIS2 inte täcks av befintliga strukturer. Exempelvis att upprätta rutiner för incidenthantering, leverantörshantering och regelbundna riskbedömningar.
NIS2 måste vara en del av kulturen
NIS2-efterlevnad är en pågående process som måste integreras i den dagliga verksamheten i din organisation.
Det är mer än att implementera tekniska åtgärder - det handlar om att skapa ett säkerhetsfokuserat tankesätt i hela organisationen.
För att integrera NIS2 i den befintliga företagskulturen måste du upprätta rutiner för regelbunden riskbedömning och incidenthantering. Detta inkluderar bland annat:
- En regelbunden riskbedömningscykel där varje avdelning regelbundet utvärderae sin säkerhetsställning och identifierar potentiella hot.
- En incidenthantering där medarbetarna utbildas för att snabbt kunna identifiera och agera på säkerhetsrelaterade problem.
Medarbetarnas kunskap och medvetenhet om cybersäkerhet är avgörande för en framgångsrik implementering av NIS2. Det kan vara en god idé att överväga:
- Löpande medvetandehöjande program som går utöver traditionella e-learningmoduler, t.ex. workshops och skräddarsydda utbildningsmoduler som tar hänsyn till avdelningens behov.
- Främja en öppen dialog om säkerhet där medarbetarna uppmuntras att rapportera potentiella risker eller problem utan rädsla för reprimander.'
Dessutom är det viktigt att komma ihåg att cyberhot ständigt utvecklas, och det måste även organisationens försvarssystem göra, t.ex. genom följande åtgärder:
- Regelbunden testning och uppdatering av säkerhetsåtgärder genom penetrationstester, revisioner och genomgångar av policyer och rutiner.
- Ett dynamiskt tillvägagångssätt för uppdatering av policyer, där förändringar i hotbilden och lagkrav snabbt integreras i befintliga policyer.
Se NIS2-direktivet som en möjlighet att utvärdera och förbättra befintliga säkerhetsåtgärder, utveckla en stark säkerhetskultur och främja en kontinuerlig förbättringsprocess så att cybersäkerhet blir en central del av organisationens strategi.
