– NIS2-efterlevelse: ekspertens tips til at opfylde kravene
Læsetid: 6 minutter.
Er din organisation omfattet af det kommende NIS2-direktiv? Stærk cybersikkerhed er selvfølgelig en god investering uanset lovkrav. Men vær ikke bekymret – du behøver ikke at skifte hele dit it-miljø på én gang. Følg sikkerhedsekspertens gode råd tilat forberede din virksomhed til de skærpede EU-krav – og reducér de skadelige virkninger ved det næste cyberangreb – på en omkostningseffektiv måde.
NIS2-direktivet, som indføres i hele EU i 2024, har til formål at styrke cyberrobustheden i alle unionens medlemslande. Øystein Snekkerlien, sikkerhedsstrateg hos GlobalConnect, får mange spørgsmål fra små og store virksomheder, der ønsker at prioritere de rette foranstaltninger for at sikre overholdelse af reglerne uden at sprænge deres it-budget. Nogle ved allerede, at de vil være omfattet af direktivet. Andre påvirkes indirekte, fordi de indgår i længere leverandørkæder, hvor kravene i NIS2 i stigende grad vil blive betragtet som en hygiejnefaktor.
Øystein påpeger dog, at der er flere grunde end NIS2 til at styrke cybersikkerheden – uanset om ens virksomhed er omfattet af de nye krav eller ej:
– Cyberkriminalitet har allerede overhalet narkotikahandel i global omsætning, og angrebene vil næppe mindskes de kommende år. Desuden kommer der flere andre skærpede regler fremover. Et eksempel er version fire af PCI DSS, som indebærer en ny standard for kortterminaler inden for detailhandlen.
7 trin til et mere sikkert it-miljø i overensstemmelse med NIS2
Præcis hvordan NIS2-kravene vil være udformet er endnu ikke fastlagt, men der er klare fokusområder, ifølge Øystein Snekkerlien:
– Du skal kunne påvise, at du har processer på plads til at beskytte kritiske oplysninger og funktioner. Kort sagt, at din virksomhed ikke kan lammes. Du skal også kunne levere detaljerede rapporter ved alvorlige sikkerhedshændelser.
Nedenfor lister Øystein foranstaltninger, der hjælper dig med netop dette.
1. Evaluér din nuværende situation for at prioritere, hvad der skal beskyttes mest
Et vigtigt første skridt(hvis du ikke allerede har gjort det) er at evaluere din nuværende situation. Opdel dine servere, systemer og processer i forskellige kategorier baseret på, hvor kritiske de er for din virksomhed. En enkel model for dette er en cirkel, hvor den inderste kerne er det, der absolut ikke må værenede. Derefter bygger du på i lag med de mindst kritiske dele yderst. Med kortlægningen på plads kan du lettere afgøre, hvordan du skal prioritere dine ressourcer, hvad du kan håndtere internt, og hvad du skal købe som tjeneste fra en ekstern partner.
2. Styrk dit it-miljø med forebyggende sikkerhedsarbejde
Minimér skaden ved et indtrængningsforsøg ved at styrke din it-infrastruktur med segmenterede netværk, krypteret trafik og en gennemarbejdet brugerhåndtering. Så kan du påvise, at adgangen til følsomme oplysninger, som persondata, er strengt begrænset.
3. Overvåg dine mest kritiske systemer
For at opdage og håndtere hændelser er både overvågning og beredskab nødvendigt. Hvor omfattende og hurtige disse tjenester skal være, er et spørgsmål om prioritering. Manuel overvågning og konstant adgang til et incident response-team er måske kun nødvendigt for de mest kritiske systemer. For dele, der ikke behøver at kunne gendannes med det samme, kan billigere, automatiserede tjenester være tilstrækkelige.
Tip! Læs om DDoS-angreb – hvad er det, og hvorfor hører vi ikke mere om det?
4. Log, hvad der er nødvendigt for hændelsesrapportering
Overvågning går hånd i hånd med logning. Med strukturerede logfiler kan du gå tilbage og se, hvilke ændringer der er sket hvornår efter en sikkerhedshændelse. Dette er helt afgørende for den type detaljeret rapportering, der kræves med NIS2. Dette er også et spørgsmål om ressourcer; det er ikke realistisk at logge alt. Prioritér derfor logning af dine vigtigste systemer.
5. Vær parat til at gendanne dine systemer
Sørg for, at du har værktøjer, tjenester og etablerede rutiner til at håndtere forskellige scenarier. Alle medarbejdere skal for eksempel vide, hvad de skal gøre, og hvem de kan kontakte ved et cyberangreb. Du skal også have sikkerhedskopier for hurtigt at kunne gendanne kritiske dele af dit it-miljø efter et angreb.
Tip! Læs, 3 trin til et it-miljø rustet til både cybertrusler og vækst
6. Tænk langsigtet strategi – ikke enkeltstående indsats
En almindelig fejl er at nedsætte en projektgruppe og forsøge at gøre alt cybersikkerhedsarbejde på én gang. Det bliver meget kostbart, og du går desuden glip af den kontinuitet, der er nødvendig for at holde sikkerhedsarbejdet levende, og som bliver ekstra vigtig med NIS2. Lavi stedet en flerårig plan og opgrader din it-infrastruktur gradvist ud fra en klar prioritering. Hold medarbejdernes kompetencer friske gennem kontinuerlig uddannelse, og glem ikke at teste virksomhedens beredskab regelmæssigt. Dine rutiner og sikkerhedskopier skal jo ikke kun se godt ud på papir, men også fungere i praksis.
7. Få hjælp fra eksterne partnere (og stil de rigtige krav til dem)
Mange brikker til god cybersikkerhed kan købes som tjenester fra eksterne leverandører. Det betyder ikke, at du kan outsource virksomhedens compliance med NIS2 og andre regler. Derimod får du en værktøjskasse, der hjælper dig med at leve op til kravene uden at skulle bruge egne it-ressourcer på hver eneste detalje. Men der findes ingen universel løsning, der passer til alle virksomheder. Så kortlæg og prioritér de forskellige dele af dit it-miljø (se punkt 1). Eksterne partnere kan så omsætte din overordnede sikkerhedsstrategi til praksis baseret på dine behov og dit budget. Vær også omhyggelig med at vælge pålidelige leverandører, der selv arbejder sikkert med alt fra underleverandører af hardware til livscyklus- og informationshåndtering.
Tip! Læs om, hvordan administrerede tjenester bidrager til en fremtidssikret it-miljø
Er din virksomhed klar til NIS2?
Tag sikkerhedstesten og få en overordnet vurdering af jeres nuværende sikkerhedsniveau. Det giver en indikation af, om I bør tage handling med det samme, eller om I allerede har de grundlæggende ting på plads.