NIS2
- Home
- NIS2
Vad är NIS2-direktivet och hur kommer det påverka din organisation?
NIS2-direktivet (Network and Information Security) är EU:s senaste policy som syftar till att förbättra medlemsländernas kollektiva cybersäkerhet. Det trädde i kraft i januari 2023 och alla relevanta organisationer förväntas följa de nya kraven från och med den 18 oktober 2024. NIS2-direktivet kommer att säkerställa att alla organisationer som fyller en väsentlig funktion i samhället har en hög nivå av cybersäkerhet.
I det här inlägget ger vi på MSP Nordics dig en sammanfattning av NIS2. Vi diskuterar vad NIS2 är, vilka typer av organisationer det gäller, de nya säkerhetskraven som organisationer måste uppfylla och hur det kommer att tillämpas. Vi ger dig också fyra steg som hjälper dig att komma igång med ditt NIS2-arbete.
Innehållsförteckning
- Vad är NIS2-direktivet?
- Varför NIS2 utvecklades?
- Påverkar NIS2 din organisation?
- Mycket kritiska enheter i NIS2-direktivet
- Andra kritiska enheter i NIS2-direktivet
- Betydande och. Viktiga verksamheter enligt NIS2
- Vad händer om min eller mina kunders organisation inte finns i EU?
- Vad händer om NIS2-direktivet inte gäller mig?
- NIS2-direktivet har tre allmänna mål
- Det finns fyra områden med nya krav i NIS2-direktivet
- NIS2 krav
- Cybersäkerhet: 10 minsta säkerhetsåtgärder som krävs av NIS2
- Nya rapporteringskrav
- Högre sanktioner för NIS2-överträdelser och ökad tillsyn
- Vad betyder detta för din organisation?
- Våra rekommendationer för din organisation
- Säkerhetsmedvetandeutbildning i NIS2-direktivet
- Cyberhygien i NIS2-direktivet
Vad är NIS2-direktivet?
NIS2-direktivet är en ny EU-policy som alla medlemsländer och dess organisationer som tillhandahåller tjänster inom EU måste följa senast den 18 oktober 2024. I grunden syftar NIS2-direktivet till att skydda kritiska organisationer och infrastruktur inom EU från cyberhot och att uppnå en hög nivå av gemensam säkerhet i hela EU.
För att uppnå detta mål fokuserar NIS2 på organisationer som tillhandahåller väsentliga tjänster för samhället.
Vi är beroende av dessa organisationer för att samhället ska fungera normalt, vilket innebär att alla störningar kan ha en stor och allvarlig inverkan på t.ex. ekonomiska aktiviteter eller folkhälsan inom EU.
Direktivet innehåller strängare krav på säkerhet, nya rapporteringsskyldigheter och utökade tillsynsåtgärder för ett bredare spektrum av organisationer än det första NIS-direktivet.
Enkelt uttryckt är det nya säkerhetskrav för de företag och organisationer vi litar mest på.
Varför finns NIS2?
Vi vet att du inte kan vänta med att dyka in i allt som är nytt med NIS2 😉
Men innan dess…
Vi tycker att vi ska börja med lite bakgrundsinformation.
EU:s första cybersäkerhetspolicy, NIS-direktivet från 2016, behövde en uppdatering för att skydda EU från nya cybersäkerhetshot. Under covid-19-pandemin upplevde världen en ökning av cyberattacker, vilket fick Europeiska kommissionen att föreslå ett nytt och förbättrat NIS2-direktiv.
NIS2-direktivet kommer att fylla luckorna i det ursprungliga NIS-direktivet genom att lägga till nya kritiska tjänstesektorer, stärka säkerhetskraven, ta itu med säkerheten i försörjningskedjan och öka rapporteringsskyldigheten och efterlevnaden.
I oktober 2024 kommer NIS2 att ersätta det ursprungliga NIS-direktivet. Målet är att det ska förbereda viktiga tjänsteleverantörer bättre för att hantera dagens cybersäkerhetsrisker.
NIS2 kommer att ersätta NIS-direktivet. Det kräver att fler organisationer följer strängare krav på cybersäkerhet.
Anses din organisation vara väsentlig för samhälleliga och ekonomiska aktiviteter?
Vi kanske alla tycker att vår verksamhet är väsentlig – men i det här fallet måste vi se vad NIS2-direktivet säger.
Påverkar NIS2 din organisation?
Ja, det är frågan alla ställer sig just nu.
Det gör det om du arbetar i en av sektorerna som den ursprungliga NIS gällde för, eller en av sektorerna som lagts till i den nya NIS2 listan.
Vi på MSP Nordics ska nu hjälpa dig reda ut vilka som omfattas av direktivet och vad det innebär.
Det ursprungliga NIS-direktivet gällde organisationer inom följande sektorer:
- Sjukvård
- Digital infrastruktur
- Transport
- Vattentillgång
- Leverantörer av digitala tjänster
- Bank- och finansmarknadsinfrastruktur
- Energi
Det nya NIS2-direktivet omfattar 18 sektorer och delsektorer
NIS2 använder många olika termer för att beskriva de sektorer det gäller. Vi förenklar de juridiska bitarna åt dig och går genom allt du behöver veta kring var och en av dem.
Först tittar vi på alla 18 sektorer som NIS2 gäller.
NIS2-direktivet delar in dessa sektorer i två kategorier: “mycket kritiska” och “andra kritiska”. Vi kommer tillbaka till varför dessa kategorier spelar någon roll senare, men för nu, se bara om din organisation ingår och var.
Mycket kritiska enheter i NIS2-direktivet
Följande 11 sektorer anses vara mycket kritiska i NIS2. För varje sektor har vi listat undersektorerna och vad de inkluderar. Om du följer texten i NIS2-direktivet listas dessa sektorer i bilaga 1.
1. ENERGI
Elektricitet
- Elleverantörer
- Distributionsnätsoperatörer
- Transmissionssystemoperatörer
- Producenter
- Nominerade elmarknadsoperatörer
- Marknadsdeltagare som tillhandahåller tjänster för aggregering, efterfrågesvar eller energilagring
- Operatörer och förvaltare av en laddningspunkt, som tillhandahåller laddningstjänster till slutanvändare, inklusive i namn av och på uppdrag av en mobilitetsleverantör
- Fjärrvärme och kyla
- Inkluderar operatörer av fjärrvärme eller fjärrkyla.
Olja
- Operatörer av oljeöverföringsledningar
- Operatörer av oljeproduktion, raffinering och behandlingsanläggningar, lagring och transmission
- Centrala lagerhållningsenheter
Gas
- Leveransföretag av gas
- Distributionsnätsoperatörer av gas
- Transmissionssystemoperatörer
- Operatörer av lagringssystem
- LNG-systemoperatörer
- Naturgasföretag
- Operatörer av anläggningar för raffinering och behandling av naturgas
Väte
Inkluderar operatörer av väteproduktion, lagring och överföring.
2. TRANSPORT
Flyg
- Lufttrafikföretag som används för kommersiella ändamål
- Flygplatsledningsorgan, flygplatser och enheter som driver kringinstallationer inom flygplatser
- Trafikledningsoperatörer som tillhandahåller flygledningstjänster (ATC).
Järnväg
- Infrastrukturförvaltare
- Järnvägsföretag, inklusive operatörer av serviceanläggningar
Vatten
- Inlands-, sjö- och kusttransportföretag för passagerar- och godsvattentransporter – exklusive de enskilda fartyg som drivs av dessa företag
- Hamnarnas ledningsorgan, inklusive deras hamnanläggningar och enheter som driver arbeten och utrustning som finns i hamnar
- Operatörer av fartygstrafiktjänster (VTS)
Väg
- Vägmyndigheter med ansvar för trafikledningskontroll – exklusive offentliga enheter för vilka trafikledning eller drift av intelligenta transportsystem är en icke väsentlig del av deras allmänna verksamhet
- Operatörer av intelligenta transportsystem
3. BANK
- Inkluderar kreditinstitut
4. FINANSIELL MARKNADSINFRASTRUKTUR
- Operatörer av handelsplatser
- Centrala motparter (CCP)
5. HÄLSA & SJUKVÅRD
- Vårdgivare
- EU:s referenslaboratorier
- Enheter som bedriver forskning och utveckling av läkemedel
- Enheter som tillverkar grundläggande farmaceutiska produkter och farmaceutiska preparat
- Enheter som tillverkar medicintekniska produkter som anses vara kritiska under en nödsituation för folkhälsan
6. DRYCKSVATTEN
Leverantörer och distributörer av vatten avsett för mänsklig konsumtion – exklusive distributörer för vilka distribution av vatten för konsumtion är en icke väsentlig del av deras allmänna verksamhet att distribuera andra varor.
7. AVLOPPSVATTEN
Företag som samlar in, omhändertar eller behandlar stadsavloppsvatten, hushållsavloppsvatten eller industriavloppsvatten.
8. DIGITAL INFRASTRUKTUR
- Internet Exchange Point (IXP)-leverantörer så som nätverksleverantörer
- DNS-tjänsteleverantörer
- TLD-namnregister
- Leverantörer av molntjänster
- Leverantörer av datacentertjänster
- Nätverksleverantörer för innehållsleverans
- ”Trust service providers”
- Leverantörer av allmänna elektroniska kommunikationsnät
- Leverantörer av allmänt tillgängliga elektroniska kommunikationstjänster
9. ICT SERVICE MANAGEMENT (BUSINESS-TO-BUSINESS)
- Managed service providers (MSP)
- Managed security service providers (MSSP)
10. OFFENTLIG FÖRVALTNING
- Statliga myndigheters offentliga förvaltningsenheter.
- Offentliga förvaltningsorgan på regional nivå.
- Medlemsstaterna får tillämpa NIS2: (a) Offentliga förvaltningsorgan på lokal nivå. b) Utbildningsinstitutioner, särskilt när de bedriver kritisk forskningsverksamhet.
- Gäller inte offentliga förvaltningsenheter som bedriver sin verksamhet inom områdena nationell säkerhet, allmän säkerhet, försvar eller brottsbekämpning, inklusive förebyggande, utredning, upptäckt och lagföring av brott.
11. RYMD (Space)
Operatörer av markbaserad infrastruktur – som ägs, förvaltas och drivs av stater eller av privata parter – som stödjer tillhandahållandet av rymdbaserade tjänster – exklusive leverantörer av offentliga elektroniska kommunikationsnät.
Därefter kommer vi att titta på de andra kritiska sektorerna som listas i NIS2. Om du redan var listad ovan kommer du inte att listas igen.
Andra kritiska enheter i NIS2-direktivet
NIS2-direktivet definierar 7 andra kritiska sektorer. Här är de nedan, tillsammans med delsektorerna och beskrivningar av vad delsektorerna omfattar. Dessa finns förresten under bilaga 2 till NIS2-direktivet om du vill fräscha upp dina juridiska kunskaper. Om inte så har vi på MSP Nordics gjort jobbet åt dig.
1. POST- OCH BUDTJÄNSTER
Leverantörer av posttjänster, inklusive leverantörer av budtjänster.
2. AVFALLSHANTERING
Företag som bedriver avfallshantering – exklusive företag för vilka avfallshantering inte är deras huvudsakliga ekonomiska verksamhet.
3. TILLVERKNING, PRODUKTION OCH DISTRIBUTION AV KEMIKALIER
Företag som utför tillverkning av ämnen och distribution av ämnen eller blandningar och företag som utför tillverkning av varor av ämnen eller blandningar.
4. PRODUKTION, BEHANDLING OCH DISTRIBUTION AV MAT
Livsmedelsföretag som är kopplade till grossistdistribution och industriell produktion och förädling.
5. TILLVERKNING
- Tillverkning av medicintekniska produkter och medicintekniska produkter för diagnostik
- Tillverkning av dator-, elektronik- och optiska produkter
- Tillverkning av elektrisk utrustning
- Tillverkning av maskiner och utrustning n.e.c.
- Tillverkning av motorfordon, släpvagnar och semitrailers
- Tillverkning av annan transportutrustning
6. DIGITALA LEVERANTÖRER
- Leverantörer av onlinemarknadsplatser
- Leverantörer av sökmotorer online
- Leverantörer av plattformar för sociala nätverkstjänster
7. FORSKNING
Forskningsorganisationer – det vill säga en enhet med det primära målet att bedriva tillämpad forskning eller experimentell utveckling och använda forskningsresultaten för kommersiella ändamål, men som inte omfattar utbildningsinstitutioner.
Så om din organisation är i någon av sektorerna som listas ovan, oavsett om den är i den mycket kritiska eller annan kritisk kategori kommer NIS2 gälla för dig och dina kunder.
Exempel.
Om ett IT-bolag hanterar Bosses Bygg och deras IT-drift och Bosses Bygg levererar arbete åt lokala järnvägen. Omfattas IT-leverantören av NIS2? Omfattas Bosses Bygg av NIS2?
Båda svaren är givetvis JA.
Så vad nu?
Lugn, ett djupt andetag kan hjälpa. Skojar bara, typ..
Det är dags att prata om ytterligare två kategorier av organisationer i NIS2.
Betydande och Viktiga verksamheter enligt NIS2
Nu lägger vi till ytterligare ett lager av kategorier. NIS2 definierar två kategorier för enheter i omfattning: betydande och viktiga.
Organisationer i båda kategorierna måste uppfylla samma säkerhetskrav. Skillnaden ligger i hur organisationer kommer att övervakas och bestraffas för bristande hantering.För att ta reda på om din organisation kvalificeras som betydande eller viktig enligt NIS2 beror mest på storleken.
Betydande enheter
- Organisationer i mycket kritiska sektorer (se ovan) med mer än 250 anställda, en årlig omsättning över 50 miljoner € eller balansräkning över 43 miljoner €.
- Oavsett storlek: förtroendetjänsteleverantörer, toppdomännamnsregister och DNS-tjänsteleverantörer.
- Leverantörer av offentliga elektroniska kommunikationsnät eller av allmänt tillgängliga elektroniska kommunikationstjänster med 50–250 anställda eller mer än 10 miljoner € omsättning.
- Offentliga förvaltningsorgan.
- Viktig eller annan organisation som är den enda leverantören av tjänsten i landet eller avbrott i deras tjänst kan ha en betydande inverkan.
- Viktiga organisationer kan övervakas proaktivt för att säkerställa att de uppfyller kraven i NIS2-direktivet.
Viktiga enheter
Viktiga enheter är i grunden de som blir över som inte anses vara betydande.
- Alla andra mycket kritiska eller andra kritiska organisationer som inte uppfyller kvalifikationerna för väsentliga enheter
I praktiken innebär detta organisationer inom de sektorer som ingår i NIS2-direktivet (ovan) som är medelstora eller mindre (färre än 250 anställda, har en årlig omsättning på mindre än 50 miljoner €, eller balansräkning mindre än 43 miljoner €).
Små (färre än 50 anställda, omsättning på 10 miljoner € eller mindre) och mikroföretag (färre än 10 anställda, omsättning på 2 miljoner € eller mindre) är inte nödvändigtvis uteslutna från NIS2-överensstämmelserna. Länderna de verkar i kan inkludera dem om deras tjänster spelar en nyckelroll i samhället.
Viktiga organisationer övervakas “i efterhand”, vilket innebär att de endast kommer att utredas om myndigheterna får bevis på bristande efterlevnad.
Puh – den svåra delen är över nu. Tack för att du stannar hos MSP Nordics guide!
Nu när vi har fått alla komplicerade NIS2-detaljer ur vägen, låt oss dyka in i vad NIS2 betyder för dig.
Vad händer om min eller mina kunders organisation inte finns i EU?
Inte i EU, inte ditt problem? Tänk om.
Även om din organisation inte är belägen i EU, om den tillhandahåller tjänster inom EU, måste den följa NIS2-direktivet.
NIS2 ger några regler om hur organisationer utanför EU ska gå tillväga.
Den säger att enheter utanför EU som tillhandahåller tjänster inom EU måste utse en representant till EU i ett av de länder där tjänsterna erbjuds. Representanten ansvarar sedan för att hantera organisationens NIS2-efterlevnadsarbete, såsom rapportering av säkerhetsincidenter.
Vad händer om NIS2-direktivet inte gäller mig?
Du behöver inte oroa dig för några omedelbara böter eller åtgärder, men.. Er organisation bör verkligen överväga att bygga ert säkerhetsarbete för att ändå följa direktivet. Det finns flera anledningar till det:
- NIS2 uppmuntrar länder att se till att även de organisationer som inte omfattas av direktivet uppnår en hög nivå av cybersäkerhet genom att implementera samma riskhanteringsåtgärder.
- Omfattningen av organisationer som NIS2 gäller är bred, och dessa organisationer måste se till att deras leverantörer också är säkra. Så många företag kommer att behöva följa NIS2-direktivet eftersom ett företag de faller under kravställningen.
I grund och botten verkar det som om riskhanteringen och cybersäkerhetsåtgärderna i NIS2 snabbt kommer att bli standarden.
Genom att proaktivt anpassa din säkerhet så att den inkluderar nedan 10 minsta säkerhetsåtgärderna i NIS2 gör du det enkelt för andra företag att samarbeta med dig. Du kan också signalera till dina kunder att du använder säkra metoder och att de kan lita på dig.
Så nu när du har en uppfattning om NIS2 gäller för din organisation…
Låt oss prata om allt organisationer kommer att behöva göra för att följa det.
Det viktigaste att veta är att det finns 10 säkerhetskrav och tidslinjer för att rapportera säkerhetsincidenter.
NIS2-direktivet har tre allmänna mål
De tre huvudsakliga syftenamed NIS2 är att öka IT-säkerheten hos viktiga tjänsteleverantörer genom strängare säkerhetskrav och påföljder för överträdelser och förbättra EU:s beredskap att hantera cyberattacker i en marknad som bara växer och växer.
Det finns fyra områden med nya krav i NIS2
1. Riskhantering
Genom hela NIS2-direktivet är hantering av cybersäkerhetsrisker ett huvudtema.
NIS2 säger att organisationer bör använda ett tillvägagångssätt för att hantera risker som kan komma från t.ex. mänskliga fel, systemfel, illvilliga aktörer, naturkatastrofer samt den fysiska- och miljömässiga säkerheten för system.
2. Företagsansvar
NIS2 håller chefer på C-nivå ansvariga på nya sätt i en helt annan omfattning. Det kräver att ledningen övervakar, godkänner, utbildas i och tar itu med risker för sina organisationers cybersäkerhet.
Om de inte gör det kan de hållas personligen ansvariga genom åtgärder som avstängning från att inneha chefsbefattningar.
3. Rapporteringsskyldighet
Det nya direktivet har detaljerade krav på rapportering av säkerhetsincidenter som vi diskuterar lite senare.
Men för nu är det bra för dig att veta att organisationer måste ha processer på plats för att snabbt rapportera säkerhetsincidenter.
4. Affärskontinuitet
Eftersom NIS2 gäller leverantörer av viktiga tjänster är det viktigt att dessa organisationer har underhållsplaner och processer hur de ska hålla sina tjänster igång om de råkar ut för en större säkerhetsincident.
Till exempel bör planen inkludera saker som systemåterställning, nödprocedurer och att skapa ett ansvarigt kristeam för att hantera situationen.
Nu kommer vi in på den roliga delen – vad NIS2 faktiskt kräver och vad som kan hända om du inte uppfyller kraven.
NIS2-krav
NIS2-direktivet har ett ”minumumkrav” på säkerhetsåtgärder som organisationer måste ha, tidsplaner för rapportering av säkerhetsincidenter och hur organisationer kan straffas om de inte följer dem.
Cybersäkerhet:
10 minsta säkerhetsåtgärder som krävs av NIS2
NIS2 säger att organisationer måste vidta lämpliga och proportionerliga riskhanteringsåtgärder för att förhindra säkerhetsincidenter och minimera deras påverkan.
Listan nedan innehåller 10 basåtgärder som alla organisationer måste ta itu med.
Förbered din checklista och se hur många du redan gör! 😊
- Policyer för riskanalys och informationssystemsäkerhet
- Incidenthantering
- Affärskontinuitet, såsom backuphantering och katastrofåterställning, och krishantering
- Säkerhet i försörjningskedjan, inklusive säkerhetsrelaterade aspekter som rör relationerna mellan varje enhet och dess direkta leverantörer eller tjänsteleverantörer
- Säkerhet vid anskaffning, utveckling och underhåll av nätverk och informationssystem, inklusive sårbarhetshantering och avslöjande
- Policyer och förfaranden för att bedöma effektiviteten av riskhanteringsåtgärder för cybersäkerhet
- Grundläggande cyberpraxis och cybersäkerhetsutbildning
- Policyer och rutiner för användning av kryptografi och, i förekommande fall, kryptering
- Personalsäkerhet, policyer för åtkomstkontroll och tillgångshantering
- Användningen av multifaktorautentisering eller kontinuerliga autentiseringslösningar, säker röst-, video- och textkommunikation och säkrade nödkommunikationssystem
Stor vikt ligger vid god cybersäkerhetsmedvetenhet.
Några delar som nämns i NIS2-direktivet är: mjukvaru- och hårdvaruuppdateringar, lösenordsändringar, hantering av nya installationer, åtkomstkontroll och onlineapplikationssäkerhet.
Den prioriterar också säkerhet i försörjningskedjan. Den säger att företag måste skräddarsy sina säkerhetsåtgärder för varje direktleverantör och bedöma den övergripande säkerhetsnivån för alla leverantörer.
Lyckligtvis är de flesta av dessa krav inte nya, och många företag arbetar förhoppningsvis redan med dessa områden. Det går också hand i hand med GDPR-arbete eftersom det här är bra steg mot att skydda data.
Nya rapporteringskrav
Om du upplever en säkerhetsincident måste du informera rätt personer. NIS2-direktivet ger tydliga instruktioner för hur organisationer ska rapportera säkerhetsincidenter.
- Inom 24 timmar efter att du först blivit medveten om en incident: skicka in en tidig varning till CSIRT (Computer Security Incident Response Team) eller berörd nationell myndighet. Det bör framgå om händelsen orsakades av illvilligt eller olagligt beteende.
- Inom 72 timmar efter att du först fick kännedom om en incident: skicka in ett incidentmeddelande. Den bör ge en uppdatering av den tidiga varningen med en första bedömning av incidenten, dess omfattning och konsekvenser.
- Inom 1 månad efter att du först fick kännedom om en incident: lämna in en slutrapport. Den bör ha en detaljerad beskrivning av händelsen, inklusive dess svårighetsgrad och konsekvenser; vad som orsakade det; tillämpade och pågående begränsningsåtgärder; och dess följdffekter.
Förhoppningsvis behöver du inte använda den här delen av vår NIS2-guide. Men den finns här om du behöver den.
Högre sanktioner för NIS2-överträdelser och ökad tillsyn
Mycket stora konsekvenser för företag som inte följer NIS2-direktivet.
Den ger ekonomiska påföljder som tillämpas när en organisation inte uppfyller säkerhetsriskhanteringen eller rapporteringskraven i NIS2.
Betydande enheter kan bötfällas med upp till 10 000 000 € eller 2 % av de totala globala intäkterna för föregående år, beroende på vilket som är högst. Detta är samma böter som ges för mindre allvarliga brott mot GDPR.
Viktiga enheter kan bötfällas med upp till 7 000 000 € eller 1,4 % av de totala globala intäkterna för föregående år, beroende på vilket som är högst.
Organisationer kan förvänta sig att bli övervakade genom revisioner, inspektioner på plats och förfrågningar om NIS2-dokumentation. Om ett NIS2-brott upptäcks kan organisationen få böter, en annan påföljd kan vara att ledningen hållas ansvarig.
Till största delen kommer organisationer att övervakas av det land de är etablerade i – med vissa undantag för organisationer inom sektorn för digital infrastruktur.
Så vad betyder detta för din organisation?
Organisationer inom de sektorer som omfattas av NIS2-direktivet kommer att ansvara för att de nya säkerhetsåtgärderna efterlevs senast den 18 oktober 2024.
För några av sektorerna kommer kommissionen att publicera ytterligare information om de tekniska kraven senast den 17 oktober 2024.
Så om din organisation omfattas av NIS2-direktivet är det ett bra tillfälle att komma igång.
Om din organisation inte ingår i NIS2-direktivets sektorer och storleksbegränsningar kan du nog slappna av lite.
Fundera på om några företag du samarbetar med kommer att behöva följa NIS2 och vad det kan innebära för din organisation. Tänk på hur du kan implementera de nya säkerhetskraven ändå, eftersom det kommer att ge dig en fördel senare.
Våra rekommendationer för din organisation
Vi på MSP Nordics vill ge dig fyra steg för att hjälpa er komma igång med NIS2-arbetet.
Steg 1: Ta reda på om din organisation behöver följa NIS2-direktivet
Du kan göra detta genom att granska sektorerna och storleksbegränsningarna för NIS2. Om du eller någon av dina kunder måste följa NIS2, gå vidare och börja med en riskbedömning.
Steg 2: Gör en riskbedömning
En riskbedömning ger dig en överblick över alla potentiella säkerhetsrisker som din organisation kan möta, hur troliga de är, hur stor inverkan de skulle ha på din organisation och vad du redan gör för att hantera den risken.
En riskhanteringsprocess som denna krävs av NIS2. Riskanalysen kan hjälpa dig att avgöra var luckorna i din säkerhet finns och vad du behöver göra för att åtgärda dem.
NIS2-direktivet kräver även att organisationer har en IT-säkerhetspolicy.
Dessutom kanske du vill använda ISO/IEC 27001 för att informera om dina riskbedömningar och hanteringsmetoder.
Steg 3: Genomför säkerhetsåtgärder
När du har bestämt dig för vilka säkerhetsändringar du behöver göra är det dags att sätta dem i verket.
Ett ramverk som kan hjälpa Plan-Do-Check-Act (PDCA). Det skapar ett strukturerat sätt att implementera nya rutiner och mäta hur väl de fungerar. Många organisationer använder det för att kontinuerligt förbättra sin cybersäkerhet.
När du inför nya säkerhetsåtgärder, se till att du har täckt alla 10 av de grundläggande säkerhetskraven som anges i NIS2-direktivet.
Du bör också titta på dina leverantörer och säkerställa att de också är säkra. Mycket viktigt att arbeta med partners som har en hög säkerhetsnivå för att säkerställa en säker leveranskedja.
ISO 22301 kan vägleda ditt arbete relaterat till säkerhet i leveranskedjan.
Steg 4: Utvärdera effektiviteten av dessa åtgärder
Om dina säkerhetsåtgärder inte räcker till eller inte fungerade som du förväntade dig, här kan du se det och göra ändringar. Det är bra att börja tidigt med ditt NIS2-arbete så även om du måste göra justeringar kommer du att vara redo i oktober 2024.
Säkerhetsmedvetenhet och utbildning i NIS2-direktivet
MSP Nordics tillhandahåller produkter och tjänster för säker IT-drift så ni får hjälp att närmare uppfylla kraven i NIS2-direktivet.
NIS2-direktivet kräver också utbildning i säkerhetsmedvetenhet och detta kommer vara ett fokusområde för varje lands nationella cybersäkerhetsstrategier.
Utbildning om cybersäkerhet, risker, cybersäkerhetsfärdigheter, medvetenhet och god cyberpraxis för både ledning och anställda anges som en prioritet i NIS2.
Cybervanor i NIS2-direktivet
Att bygga goda cybersäkerhetsvanor och en stark säkerhetskultur i din organisation nämns också i NIS2. En cyberorienterad kultur och medarbetare med goda digitala vanor arbetar hand i hand för att öka din övergripande säkerhet.
Ett enkelt sätt att hålla säkerheten på agendan är att använda visuella påminnelser på ditt kontor. Affischer och infografik med cybersäkerhetstips som gör säkerheten rolig kan vara ett bra tips.
Du kan också alltid prata med någon av oss på MSP Nordics för genomgång och rådgivning kring säkerhetskulturen i din organisation.
Tack för att du tagit dig tiden och läst! Hör bara av er om det finns några som helst frågor 😊