– NIS2 i praktiken: expertens 7 steg till ökad cybersäkerhet

Omfattas din organisation av NIS2-direktivet? Stark cybersäkerhet är förstås en god investering oavsett lagkrav. Men oroa dig inte – du behöver inte byta ut hela din it-miljö i ett enda svep. Följ vår experts handfasta tips för att anpassa verksamheten efter de skärpta EU-kraven – och minska de skadliga effekterna vid nästa cyberattack – på ett kostnadseffektivt sätt.

NIS2-direktivet som infördes i hela EU under 2024 syftar till att stärka cyberresiliensen i alla unionens medlemsländer. Øystein Snekkerlien, säkerhetsstrateg på GlobalConnect, får många frågor från små och stora företag som vill prioritera rätt åtgärder för att säkra regelefterlevnad utan att spräcka sin it-budget. Vissa vet redan att de omfattas av direktivet. Andra påverkas indirekt eftersom de ingår i längre leverantörskedjor där kraven i NIS2 allt mer kommer att ses som en hygienfaktor.

Øystein poängterar dock att det finns fler skäl än NIS2 för att stärka upp cybersäkerheten – oavsett om ens verksamhet omfattas av de nya kraven eller inte:

– Cyberkriminalitet har redan gått om narkotikahandeln i global omsättning, och attackerna kommer knappast att minska de närmaste åren. Dessutom kommer flera andra regelskärpningar framöver. Ett exempel är version fyra av PCI DSS, som innebär en ny standard för kortterminaler inom retail.

Så stärker du it-säkerheten – 7 åtgärder i linje med NIS2

Exakt hur NIS2-kraven kommer att införlivas i svensk lag är inte spikat än, men det finns tydliga fokusområden, enligt Øystein Snekkerlien:

– Du behöver kunna påvisa att du har processer på plats för att skydda kritiska uppgifter och funktioner. Kort sagt, att din verksamhet inte kan slås ut. Du ska också kunna ta fram detaljerade rapporter vid allvarliga säkerhetsincidenter.

Nedan listar Øystein åtgärder som hjälper dig att lyckas med just detta.

1. Utvärdera ditt nuläge för att prioritera vad som ska få starkast skydd

Ett viktigt första steg, om du inte redan har gjort det, är att utvärdera ditt nuläge. Dela in dina servrar, system och processer i olika kategorier utifrån hur kritiska de är för din verksamhet. En enkel modell för detta är en cirkel, där den innersta kärnan är sådant som absolut inte får ligga nere. Sedan bygger du på i olika lager, med de minst kritiska delarna ytterst. Med kartläggningen på plats kan du lättare avgöra hur du ska prioritera dina resurser, vad du kan hantera internt och vad du behöver köpa in som tjänst från en extern partner.

2. Förstärk din it-säkerhet med förebyggande åtgärder

Minimera skadan vid ett intrångsförsök genom att stärka din it-infrastruktur med segmenterade nätverk, krypterad trafik och en genomtänkt användarhantering. Då kan du påvisa att åtkomsten till känslig information, som personuppgifter, är strikt begränsad.

3. Övervaka dina mest kritiska system

För att upptäcka och åtgärda incidenter behövs både övervakning och beredskap att agera. Hur omfattande och snabba de här tjänsterna behöver vara är en prioriteringsfråga. Manuell övervakning och ständig tillgång till ett incident response team kanske enbart de mest kritiska systemen behöver. För delar som inte måste kunna återställas direkt kan billigare, automatiserade tjänster räcka.

Tips! DDoS-attacker – vad är det och varför pratas det så lite om dem?

4. Logga rätt saker för en fullständig incidentrapport

Övervakning går hand i hand med loggning. Med strukturerade loggar kan du gå tillbaka och se vilka förändringar som skett när efter en säkerhetsincident. Detta är helt avgörande för den typen av detaljerad rapportering som krävs i och med NIS2. Även detta är en resursfråga; det är inte realistiskt att logga allt. Prioritera därför loggning av dina viktigaste system.

Tips! Med ett externt SOC (Security Operations Center) kan du få hjälp med övervakning, loggning och incidenthantering från erfarna experter.

5. Var beredd att återställa dina system

Se till att du har verktyg, tjänster och inarbetade rutiner för att bemöta olika scenarier. Alla medarbetare måste till exempel veta vad de ska göra och vem de kan kontakta vid en cyberattack. Du behöver också ha backuper för att snabbt kunna återställa kritiska delar av din it-miljö efter ett angrepp.

Tips! Läs hur du kan rusta din it-miljö för både cyberhot och framtiden.

6. Cybersäkerhet kräver en långsiktig strategi – inte snabba punktinsatser

Ett vanligt misstag är att tillsätta en projektgrupp och försöka göra allt cybersäkerhetsarbete på en gång. Det blir väldigt kostsamt och du går dessutom miste om den kontinuitet som behövs för att hålla säkerhetsarbetet levande, och som blir extra viktig med NIS2. Sätt istället upp en flerårig plan och uppgradera din it-infrastruktur successivt utifrån en tydlig prioordning. Håll medarbetarnas kunskaper färska genom kontinuerliga utbildningar, och glöm inte att testa verksamhetens beredskap regelbundet. Dina rutiner och backuper ska ju inte bara se bra ut på pappret, utan också fungera i skarpt läge.

7. Stärk cybersäkerheten med partners du kan lita på

Många pusselbitar för en god cybersäkerhet kan köpas som tjänster från externa leverantörer. Det innebär inte att du kan outsourca verksamhetens compliance med NIS2 och andra regelverk. Däremot får du en verktygslåda som hjälper dig att leva upp till kraven utan att behöva lägga egna it-resurser på varje detalj. Men det finns ingen universallösning som passar alla företag. Så mappa upp och prioritera de olika delarna av din it-miljö (se punkt 1). Externa partners kan då omsätta din övergripande säkerhetsstrategi i praktiken baserat på dina behov och din budget. Var också noga med att välja trygga leverantörer som själva arbetar säkert med allt från underleverantörer av hårdvara till livscykel- och informationshantering.

Tips! Se hur nordiska företag hanterar säkerhetsutmaningar – hämta rapporten här!

Omfattas din organisation av NIS2?

Gör testet för att få en övergripande bedömning av er nuvarande säkerhetsnivå. Det ger en fingervisning om ni borde vidta åtgärder direkt, eller om ni redan har grunderna på plats.