Privat Bedrift Borettslag

Du er nå på bedriftsiden. Er du privatkunde? Bytt til Privat (tidligere HomeNet)

NIS2: ekspertens tips for å møte kravene

7B09F7AC-CC21-4F32-9082-578007289E2F 7B09F7AC-CC21-4F32-9082-578007289E2F 7B09F7AC-CC21-4F32-9082-578007289E2F 7B09F7AC-CC21-4F32-9082-578007289E2F

NIS2: ekspertenes tips for å møte kravene

Blir din organisasjon berørt av det kommende NIS2-direktivet? Sterk cybersikkerhet er selvfølgelig en god investering uavhengig av lovpålagte krav. Men ikke bekymre deg – du trenger ikke å erstatte hele IT-miljøet ditt på én gang. Følg våre eksperters solide tips for å forberede virksomheten din for de skjerpede EU-kravene – og reduser de skadelige effektene ved neste cyberangrep, på en kostnadseffektiv måte.

NIS2-direktivet som skal innføres i hele EU i løpet av 2024, har som mål å styrke cyberresiliensen i alle unionens medlemsland. Johan Caripson, Business Manager hos GlobalConnect i Sverige, mottar for øyeblikket mange spørsmål fra små og store bedrifter som ønsker å prioritere riktige tiltak for å sikre overholdelse av regelverket uten å overskride IT-budsjettet. Noen vet allerede at de vil bli omfattet av direktivet. Andre påvirkes indirekte fordi de inngår i lengre leverandørkjeder der kravene i NIS2 i økende grad vil bli betraktet som en standard.

Johan understreker imidlertid at det er flere grunner enn NIS2 til å styrke cybersikkerheten – uavhengig av om virksomheten din omfattes av de nye kravene eller ikke:

– Cyberkriminalitet har allerede overgått narkotikahandelen i global omsetning, og angrepene vil neppe avta de kommende årene. Dessuten vil det komme flere andre regelskjerpingstiltak fremover. Et eksempel er versjon fire av PCI DSS, som introduserer en ny standard for kortterminaler innen detaljhandelen.

7 trinn til et sikrere IT-miljø i tråd med NIS2

Eksakt hvordan NIS2-kravene vil være utformet er ennå ikke fastlagt, men ifølge Johan Caripson er det klare fokusområder:

– Du må kunne dokumentere at du har prosesser på plass for å beskytte kritisk informasjon og funksjoner. Med andre ord, at virksomheten din ikke kan bli satt ut av spill. Du må også kunne utarbeide detaljerte rapporter ved alvorlige sikkerhetsbrudd.

Nedenfor lister Johan tiltak som vil hjelpe deg med å oppnå akkurat dette.

  1. Vurder din nåværende situasjon for å prioritere hva som skal få sterkest beskyttelse.

Et viktig første skritt, hvis du ikke allerede har gjort det, er å vurdere din nåværende situasjon. Del servere, systemer og prosesser inn i ulike kategorier basert på hvor kritiske de er for din virksomhet. En enkel modell for dette er en sirkel, der den innerste kjernen består av ting som absolutt ikke kan være nede. Deretter bygger du videre i ulike lag, med de minst kritiske delene ytterst. Med denne kartleggingen på plass kan du lettere avgjøre hvordan du skal prioritere dine ressurser, hva du kan håndtere internt, og hva du må kjøpe som tjeneste fra en ekstern partner.

  1. Styrk ditt IT-miljø med forebyggende sikkerhetsarbeid.

Minimer skaden ved et innbruddsforsøk ved å styrke din IT-infrastruktur med segmenterte nettverk, kryptert trafikk og en gjennomtenkt brukerhåndtering. På denne måten kan du dokumentere at tilgangen til sensitiv informasjon, som personopplysninger, er strengt begrenset.

  1. Overvåk dine mest kritiske systemer.

For å oppdage og håndtere hendelser er både overvåkning og beredskap for å handle nødvendig. Hvor omfattende og raske disse tjenestene må være er et spørsmål om prioritering. Manuell overvåkning og kontinuerlig tilgang til et incident response team kan være nødvendig kun for de mest kritiske systemene. For deler som ikke trenger å kunne gjenopprettes direkte, kan billigere, automatiserte tjenester være tilstrekkelig.

  1. Logg det som er nødvendig for hendelsesrapportering.

Overvåkning går hånd i hånd med logging. Med strukturerte logger kan du gå tilbake og se hvilke endringer som har skjedd etter en sikkerhetshendelse. Dette er helt avgjørende for den typen detaljert rapportering som kreves i forbindelse med NIS2. Dette er også et ressursspørsmål; det er ikke realistisk å logge alt. Prioriter derfor logging av dine viktigste systemer.

  1. Vær forberedt på å gjenopprette systemene dine.

Sørg for at du har verktøy, tjenester og etablerte rutiner for å håndtere ulike scenarier. Alle ansatte må for eksempel vite hva de skal gjøre og hvem de kan kontakte ved et cyberangrep. Du må også ha sikkerhetskopier for å raskt kunne gjenopprette kritiske deler av IT-miljøet ditt etter et angrep.

  1. Tenk langsiktig strategi – ikke en engangsinnsats.

Et vanlig feilgrep er å sette sammen en prosjektgruppe og forsøke å gjøre alt cybersikkerhetsarbeid på én gang. Det blir svært kostbart, og du går dessuten glipp av den kontinuiteten som trengs for å opprettholde sikkerhetsarbeidet, noe som blir ekstra viktig med NIS2. Sett heller opp en flerårig plan og oppgrader din IT-infrastruktur gradvis ut fra en tydelig prioritetsrekkefølge. Hold medarbeidernes kunnskaper oppdatert gjennom kontinuerlige opplæringsaktiviteter, og ikke glem å teste virksomhetens beredskap regelmessig. Dine rutiner og sikkerhetskopier bør ikke bare se bra ut på papiret, men også fungere effektivt i krisesituasjoner.

  1. Få hjelp av eksterne partnere (og still krav til dem på riktig måte).

Mange brikker til en god cybersikkerhet kan kjøpes som tjenester fra eksterne leverandører. Dette betyr imidlertid ikke at du kan outsource virksomhetens overholdelse av NIS2 og andre regelverk. Du får derimot et verktøysett som hjelper deg med å oppfylle kravene uten å måtte bruke egne IT-ressurser på hver eneste detalj. Men det finnes ingen universell løsning som passer for alle bedrifter. Derfor bør du kartlegge og prioritere de ulike delene av din IT-miljø (se punkt 1). Eksterne partnere kan da implementere din overordnede sikkerhetsstrategi i praksis basert på dine behov og din budsjettramme. Vær også nøye med å velge pålitelige leverandører som selv arbeider sikkert med alt fra hardware-underleverandører til livssyklus- og informasjonshåndtering.

 

Les mer om cybersikkerhet

Ekspertens tips: slik skaper du et sikkert passord

Ekspertens tips: slik skaper du et sikkert passord

Beskytt deg mot hackerangrep

Leverandørkjedesikkerhet

Leverandørkjedesikkerhet

Cybekriminelle leter etter det svakeste leddet

Stadig flere blir utsatt for cyberangrep og sikkerhetstrusler - hvordan beskytter du din bedrift?

Stadig flere blir utsatt for cyberangrep og sikkerhetstrusler - hvordan beskytter du din bedrift?

Digitalisering gir mange fordeler for bedrifter og samfunnet generelt. Transformasjonen kommer imidlertid med en ulempe.

Kan din bedrift få fiber?

Fiber er markedets raskeste internettforbindelse. Sjekk om din bedrift også kan få alle fordelene med lynrask fiber.