– NIS2 compliance: expertens tips för att möta kraven
Lästid: 6 minuter.
Omfattas din organisation av det kommande NIS2-direktivet? Stark cybersäkerhet är förstås en god investering oavsett lagkrav. Men oroa dig inte – du behöver inte byta ut hela din it-miljö i ett enda svep. Följ vår experts handfasta tips för att förbereda verksamheten inför de skärpta EU-kraven – och minska de skadliga effekterna vid nästa cyberattack – på ett kostnadseffektivt sätt.
NIS2-direktivet som införs i hela EU under 2024 syftar till att stärka cyberresiliensen i alla unionens medlemsländer. Øystein Snekkerlien, säkerhetsstrateg på GlobalConnect, får många frågor från små och stora företag som vill prioritera rätt åtgärder för att säkra regelefterlevnad utan att spräcka sin it-budget. Vissa vet redan att de kommer att omfattas av direktivet. Andra påverkas indirekt eftersom de ingår i längre leverantörskedjor där kraven i NIS2 allt mer kommer att ses som en hygienfaktor.
Øystein poängterar dock att det finns fler skäl än NIS2 för att stärka upp cybersäkerheten – oavsett om ens verksamhet omfattas av de nya kraven eller inte:
– Cyberkriminalitet har redan gått om narkotikahandeln i global omsättning, och attackerna kommer knappast att minska de närmaste åren. Dessutom kommer flera andra regelskärpningar framöver. Ett exempel är version fyra av PCI DSS, som innebär en ny standard för kortterminaler inom retail.
7 steg till en säkrare it-miljö i linje med NIS2
Exakt hur NIS2-kraven kommer att vara utformade är inte spikat än, men det finns tydliga fokusområden, enligt Øystein Snekkerlien:
– Du behöver kunna påvisa att du har processer på plats för att skydda kritiska uppgifter och funktioner. Kort sagt, att din verksamhet inte kan slås ut. Du ska också kunna ta fram detaljerade rapporter vid allvarliga säkerhetsincidenter.
Nedan listar Øystein åtgärder som hjälper dig att lyckas med just detta.
1. Utvärdera ditt nuläge för att prioritera vad som ska få starkast skydd
Ett viktigt första steg, om du inte redan har gjort det, är att utvärdera ditt nuläge. Dela in dina servrar, system och processer i olika kategorier utifrån hur kritiska de är för din verksamhet. En enkel modell för detta är en cirkel, där den innersta kärnan är sådant som absolut inte får ligga nere. Sedan bygger du på i olika lager, med de minst kritiska delarna ytterst. Med kartläggningen på plats kan du lättare avgöra hur du ska prioritera dina resurser, vad du kan hantera internt och vad du behöver köpa in som tjänst från en extern partner.
2. Stärk upp din it-miljö med förebyggande säkerhetsarbete
Minimera skadan vid ett intrångsförsök genom att stärka din it-infrastruktur med segmenterade nätverk, krypterad trafik och en genomtänkt användarhantering. Då kan du påvisa att åtkomsten till känslig information, som personuppgifter, är strikt begränsad.
3. Övervaka dina mest kritiska system
För att upptäcka och åtgärda incidenter behövs både övervakning och beredskap att agera. Hur omfattande och snabba de här tjänsterna behöver vara är en prioriteringsfråga. Manuell övervakning och ständig tillgång till ett incident response team kanske enbart de mest kritiska systemen behöver. För delar som inte måste kunna återställas direkt kan billigare, automatiserade tjänster räcka.
Tips! Läs om DDoS-attacker – vad är det och varför pratas det så lite om dem?
4. Logga det som krävs för incidentrapportering
Övervakning går hand i hand med loggning. Med strukturerade loggar kan du gå tillbaka och se vilka förändringar som skett när efter en säkerhetsincident. Detta är helt avgörande för den typen av detaljerad rapportering som krävs i och med NIS2. Även detta är en resursfråga; det är inte realistiskt att logga allt. Prioritera därför loggning av dina viktigaste system.
5. Var beredd att återställa dina system
Se till att du har verktyg, tjänster och inarbetade rutiner för att bemöta olika scenarier. Alla medarbetare måste till exempel veta vad de ska göra och vem de kan kontakta vid en cyberattack. Du behöver också ha backuper för att snabbt kunna återställa kritiska delar av din it-miljö efter ett angrepp.
Tips! Läs hur du kan rusta din it-miljö för både cyberhot och framtiden.
6. Tänk långsiktig strategi – inte engångsinsats
Ett vanligt misstag är att tillsätta en projektgrupp och försöka göra allt cybersäkerhetsarbete på en gång. Det blir väldigt kostsamt och du går dessutom miste om den kontinuitet som behövs för att hålla säkerhetsarbetet levande, och som blir extra viktig med NIS2. Sätt istället upp en flerårig plan och uppgradera din it-infrastruktur successivt utifrån en tydlig prioordning. Håll medarbetarnas kunskaper färska genom kontinuerliga utbildningar, och glöm inte att testa verksamhetens beredskap regelbundet. Dina rutiner och backuper ska ju inte bara se bra ut på pappret, utan också fungera i skarpt läge.
7. Ta hjälp av externa partners (och kravställ dem på rätt sätt)
Många pusselbitar för en god cybersäkerhet kan köpas som tjänster från externa leverantörer. Det innebär inte att du kan outsourca verksamhetens compliance med NIS2 och andra regelverk. Däremot får du en verktygslåda som hjälper dig att leva upp till kraven utan att behöva lägga egna it-resurser på varje detalj. Men det finns ingen universallösning som passar alla företag. Så mappa upp och prioritera de olika delarna av din it-miljö (se punkt 1). Externa partners kan då omsätta din övergripande säkerhetsstrategi i praktiken baserat på dina behov och din budget. Var också noga med att välja trygga leverantörer som själva arbetar säkert med allt från underleverantörer av hårdvara till livscykel- och informationshantering.
Tips! Läs hur managerade it-tjänster bidrar till en säkrare it-miljö
Är din organisation redo för NIS2?
Gör testet för att få en övergripande bedömning av er nuvarande säkerhetsnivå. Det ger en fingervisning om ni borde vidta åtgärder direkt, eller om ni redan har grunderna på plats.