Vilka krav ställs och vad behöver du och ditt företag vidta för att bli NIS2/CER compliant
Som vi har gått igenom tidigare är syftet med NIS2 att uppnå en hög gemensam cybersäkerhetsnivå inom EU. Till skillnad från NIS innefattar NIS2 krav på 4 huvudområden som NIS2-direktivet har lagt till krav på; Företagsledning, Rapportering till myndigheterna, Riskhantering och Affärskontinuitet.
Företagsledning
Företagsledningen måste vara informerad och förstå kraven i direktivet samt ansträngningarna inom riskhanteringen. Det vilar ett direkt ansvar på dem att upptäcka och hantera cyberriskerna för att följa direktivets krav.
Rapportering till myndigheterna
Företag behöver väldefinierade processer för att säkerställa att korrekt rapportering görs till Eus CSIRT (computer security incident response team). Kraven på rapportering är;
- Inom 24 timmar efter det man fått vetskap om incidenten och huruvida den orsakats olagligt och om den har påverkan över landsgränser.
- Inom 72 timmar efter upptäckt ges en initial bedömning av omfattningen och indikationer på ytterligare påföljder.
- CSIRT kan begära en interim rapport med relevanta uppdateringar.
- Inom en månad efter incidenten först rapporterats ges en slutlig rapport.
Riskhantering
För att uppfylla kraven måste verksamheter vidta åtgärder för att minska risker och deras påverkan. Det innefattar hantering av incidenter, förbättring av säkerheten i leveranskedjan,nätverkssäkerhet, åtkomstkontroll samt kryptering.
Affärskontinuitet
Företag måste tänka på hur man kan trygga kontinuiteten i verksamheten vid större cyberincidenter. Det innefattar bland annat åtgärder som systemåterställning, nödprocedurer och bildandet av en krishanteringsgrupp.
Minimiåtgärder för NIS2
För att uppfylla de minimikrav som föreskrivs i NIS2-direktivet måste organisationer vidta åtgärder för att säkerställa en hög nivå av cybersäkerhet. Här är några centrala aspekter som behöver beaktas:
För det första krävs det att organisationer genomför riskbedömningar och utformar säkerhetspolicyer för sina informationssystem. Dessa åtgärder syftar till att identifiera och hantera potentiella hot och sårbarheter i syfte att stärka den övergripande säkerheten. En viktig del är också att skapa planer för att hantera säkerhetsincidenter. Detta inkluderar strategier för att återställa system, nödprocedurer och etablerandet av en krisresponsgrupp för att effektivt hantera och begränsa skador vid en incident.
Affärskontinuitet är en annan väsentlig aspekt. Organisationer måste utarbeta planer för att säkerställa att deras verksamhet kan fortgå under och efter en säkerhetsincident. Detta inkluderar att ha uppdaterade säkerhetskopior samt säkerställa tillgängligheten till IT-system och deras funktioner. Säkerhetsaspekter kring leveranskedjor är också viktiga Det innebär att företag måste välja och implementera säkerhetsåtgärder som är anpassade till sårbarheterna hos varje direkt leverantör samt bedöma den samlade säkerhetsnivån för samtliga leverantörer.
Förutom dessa åtgärder krävs det att organisationer fastställer och följer policyer och procedurer för att utvärdera effektiviteten hos de vidtagna säkerhetsåtgärderna. Detta är avgörande för att kontinuerligt förbättra och anpassa säkerhetsstrategierna. Säkerhetsaspekter kring inköp, utveckling och drift av system är ytterligare ett fokusområde. Det innebär att organisationer bör ha klara policyer för hantering och rapportering av sårbarheter inom dessa områden.
Utöver tekniska åtgärder är utbildning i cybersäkerhet och regelbunden tillämning av grundläggande datahygien viktiga för att skapa en medveten och säker användarkultur.
Policyer och procedurer för användning av kryptering, behöver också implementeras för att säkerställa en skyddad kommunikation och datalagring. Säkerhetsprocedurer för anställda med åtkomst till känslig eller viktig data, inklusive policyer för datatillgång, är nödvändiga för att minimera riskerna för obehörig åtkomst eller missbruk av information. Dessutom krävs en översikt över alla relevanta tillgångar och ett ansvar för att säkerställa deras korrekta användning och hantering.
Slutligen bör organisationer överväga implementeringen av flerfaktorautentisering, kontinuerliga autentiseringslösningar samt kryptering av röst, video och text, och krypterad intern kommunikation vid nödsituationer, när så är lämpligt. Dessa tekniska åtgärder bidrar till att stärka den övergripande säkerheten och minska risken för obehörig åtkomst.
Varbergs Revisionsbyrå använder Konfident eftersom det är det enklaste sättet att säkert dela konfidentiell information.
Göteborgsföretaget Arkiv Redovisning AB använder Konfident för att kommunicera med kunder och följa GDPR.
Med hjälp av Konfident, en så kallad. "Digital bokhylla" skapades där klubbens information lagrades. På detta sätt var det möjligt att säkerställa att all information var tillgänglig för dem som skulle ha tillgång till den.
