Optimera NIS2 – sex tips som hjälper er i rätt riktning
Är din verksamhet viktig för samhället?
I början av mars 2024 presenterade regeringen delbetänkandet som är ett svenskt lagförslag på uppfyllnad av målen i EU-direktivet NIS2 om ett ökad skydd för nätverks- och informationssystem hos samhällsviktiga tjänster. NIS2-direktivet innebär att du som arbetar med samhällskritisk verksamhet blir skyldig att arbeta med säkerheten på en helt ny nivå. Nyheterna jämfört med det tidigare NIS-direktivet innebär att flera verksamhetsområden och även privata verksamhetsutövare omfattas.
Nedan följer sex som hjälper er i rätt riktning:
- Direktivet ställer krav på att det ska finnas kunskap och kompetens inom cybersäkerhet i ledningsgruppen. Vårt första tips är att sätta en strategi för hur ledningen ska engageras och deras ansvar och skyldigheter för kommande implementation.
- Kartlägg hur ni arbetar med cybersäkerhet idag. Arbetar ni efter en internationellt erkänd standard såsom ISO/IEC 25001, NIST eller liknande? Hur täcks kraven ur artikel 21.2 av ert befintliga ledningssystem?
- Identifiera vilka processer och system som är kritiska för att tillhandahålla den samhällsviktiga tjänsten. Här kan en BIA (Business Impact Analysis) vara en bra metod för att skapa ett första utkast av ert NIS2 scope. Detta kommer att hjälpa er att indikera omfattningen av ert kommande arbete.
- Cybersäkerhetskraven från NIS2 artikel 21.2 kräver många olika domänkunskaper. En person kan inte göra hela arbetet ensam. Inventera er säkerhetsorganisation och avgör vilken kompetens ni redan har inom organisationen. Utifrån resultatet kan ni sedan ta beslut om ni behöver rekrytera eller ta in konsulthjälp.
- Genomför riskanalyser på de processer som faller in under ert scope. Ta med representanter från verksamheten. En god idé kan vara att utgå ifrån områdena i artikel 21.2, men se till att även identifiera övriga risker som kan finnas för era processer. Bedöm konsekvenser och sannolikhet för att risken ska inträffa. Det är viktigt att komma ihåg att dokumentera era riskanalyser!
- Åtgärda därefter de identifierade riskerna. Uppdatera styrande dokument, processbeskrivningar och rutiner i enlighet med beslutade och införda åtgärder.
Behöver ni hjälp eller rådgivning? Kontakta oss.
Text skriven av Pontus Lilliequis., Senior Information Security Specialist