Slik etterlever du NIS2 – 9 konkrete sikkerhetstiltak

NIS2-forordningen stiller skjerpede krav til hvordan både offentlige og private virksomheter i EU og EØS skal beskytte seg mot digitale trusler. For norske virksomheter vil direktivet snart være en del av norsk lov, og det betyr at kravene ikke lenger er valgfri anbefaling – men en plikt. Direktivet skiller mellom essensielle og viktige enheter. Essensielle enheter inkluderer bransjer som energi, transport, helse, vannforsyning og offentlig forvaltning. Viktige enheter kan være innen digitale tjenester, produksjon av kritiske varer, post og avfallshåndtering.

Heldigvis gir NIS2 også en god struktur for hvordan virksomheter kan sikre seg bedre. Her får du åtte tydelige tiltak som hjelper deg i gang – og som dekker kravene innen styring, drift, teknologi og kontroll.

1. Risikoanalyse og sikkerhetspolicy

Det første steget i å etterleve NIS2 er å sikre at virksomheten har styring og kontroll over sin egen digitale risiko. Det krever både en tydelig forankring i ledelsen og en systematisk tilnærming til risiko.

En helhetlig risikovurdering skal kartlegge hvilke systemer, tjenester og prosesser som er kritiske, og hvilke trusler og sårbarheter som kan påvirke dem. Det handler ikke bare om teknologi, men også mennesker, leverandører og rutiner.

Basert på denne risikovurderingen må virksomheten utvikle og vedlikeholde en sikkerhetspolicy – altså et sett med prinsipper og regler som alle i organisasjonen skal følge. Policyen må være forankret i ledelsen, og den bør jevnlig revideres i takt med endringer i trusselbildet eller organisasjonen.

Tiltak som anbefales:

• Etablere tydelig ansvar for cybersikkerhet

• Gjennomføre årlige risikovurderinger

• Utvikle og vedlikeholde en sikkerhetspolicy som gjelder hele organisasjonen

2. Hendelseshåndtering

Når noe går galt – som et datainnbrudd, virusangrep eller tap av sensitiv informasjon – må virksomheten ha en plan for hvordan det skal håndteres. Dette er et kjernekrav i NIS2, og det handler om å redusere skade, varsle myndigheter riktig og komme raskt tilbake i normal drift.

En god hendelseshåndteringsplan skal beskrive hvem som gjør hva, hvordan hendelsen eskaleres internt, hvilke eksterne parter som skal varsles, og hvordan situasjonen skal dokumenteres og evalueres i etterkant.

Det er også viktig å øve. Simuleringer av hendelser, som phishing-angrep eller systembrudd, bidrar til at ansatte vet hva de skal gjøre når det virkelig gjelder.

Tiltak som anbefales:

• Utarbeide en beredskaps- og hendelseshåndteringsplan

• Definere varslingsrutiner til NSM, Datatilsynet og kunder

• Gjennomføre øvelser minst én gang i året

3. Driftskontinuitet og krisehåndtering

Hva gjør du dersom et angrep slår ut virksomhetens viktigste systemer? NIS2 krever at virksomheter har evne til å opprettholde drift, eller raskt gjenopprette den, etter en digital hendelse. Dette er kritisk for å sikre både tjenestetilgjengelighet og tillit hos kunder og samarbeidspartnere.

Det innebærer at virksomheten må ha oppdaterte og fungerende sikkerhetskopier, og en dokumentert plan for hvordan data og systemer skal gjenopprettes. Like viktig er det å teste gjenopprettingen jevnlig – mange oppdager først under en krise at backupen enten er utilgjengelig eller ubrukelig.

Tiltak som anbefales:

• Ha daglige sikkerhetskopier av alle kritiske systemer

• Sørge for at backupen er isolert fra produksjonsmiljøet

• Dokumentere og teste gjenopprettingsplaner
  

 4. Sikkerhet knyttet til IT-systemer

Virksomhetens IT-systemer er ofte hovedmålet for cyberangrep – og derfor et sentralt område i NIS2. Det kreves at systemene er sikre både ved innlogging, bruk og drift.

For det første må det innføres flerfaktorautentisering (MFA) for alle brukere som har tilgang til systemer med sensitiv informasjon eller eksternt tilgjengelige tjenester. Dette reduserer faren betydelig dersom passord kommer på avveie.

Videre må tilganger styres etter prinsippet om “minste privilegium”, og jevnlig gjennomgås for å fjerne unødvendige eller utdaterte rettigheter.

Til slutt bør virksomheten gjennomføre regelmessige sikkerhetstester – både sårbarhetsskanning og penetrasjonstesting – for å avdekke svakheter før angripere gjør det.

Tiltak som anbefales:

• Obligatorisk MFA på e-post, VPN, sky og interne systemer

• Regelmessig tilgangskontroll og fjerning av inaktive brukere

• Årlige sikkerhetstester med ekstern aktør og hyppige skanninger

• Bruk av single sign-on tjenester

5. Håndtere cybersikkerhetsrisikoer

Sikkerhetsarbeidet må være risikobasert. Det betyr at dere må prioritere tiltak ut fra hvor store konsekvenser et angrep kan få. Dette gjelder både for interne systemer og for eksterne forhold – som for eksempel programvare dere bruker eller hvor eksponert virksomheten er for phishing eller sosial manipulering.

NIS2 legger opp til at virksomheter jobber kontinuerlig med å identifisere, vurdere og redusere digitale risikoer. Dette krever rutiner for oppfølging av funn, forbedring av svakheter og kontinuerlig utvikling av sikkerhetsarbeidet.

Tiltak som anbefales:

• Etablere rutine for å følge opp og lukke sikkerhetsfunn

• Implementere forbedringsprosesser (f.eks. PDCA)

• Bruke trusselvurderinger og trusselrapporter i beslutningsgrunnlaget

6. Sikkerhet i leverandørkjeden

Mange sikkerhetsbrudd starter med en svakhet hos en ekstern aktør – en leverandør som har tilgang til systemer, data eller tjenester. NIS2 krever at virksomheter har oversikt og kontroll over denne risikoen.

Det betyr at alle leverandører må vurderes ut fra hvor kritiske de er, og hva slags tilgang de har. Nye leverandøravtaler bør inneholde tydelige krav til informasjonssikkerhet, og eksisterende leverandører bør jevnlig følges opp – for eksempel gjennom revisjoner eller sikkerhetsdialoger.

Tiltak som anbefales:

• Kartlegge leverandører med tilgang til egne systemer

• Inkludere sikkerhetskrav i alle avtaler og innkjøp

• Be om risikovurderinger eller revisjonsrapporter fra kritiske leverandører

• Inkludere sikkerhetsvurdering og tilgang for programvare (som for eksempel solarwind)

7. Retningslinjer for tilgang

Hvem har tilgang til hva – og hvorfor? NIS2 krever at virksomheter har tydelige og dokumenterte retningslinjer for tilgangsstyring. Dette skal forhindre uautorisert tilgang til data og systemer, og samtidig sikre at ansatte kun har det de faktisk trenger.

God tilgangsstyring handler både om tekniske løsninger og organisatoriske rutiner. Det bør være et etablert system for å gi, endre og fjerne tilganger, og virksomheten må kunne dokumentere hvilke brukere som har tilgang til hvilke ressurser.

Tiltak som anbefales:

• Rollebasert tilgangsstyring (RBAC)

• Automatisk varsling ved uvanlig pålogging eller tilganger

• Periodisk gjennomgang og revisjon av brukerrettigheter

8. Kryptering

Kryptering er en av de mest grunnleggende – og effektive – metodene for å beskytte informasjon mot uautorisert innsyn. I NIS2 er kryptering et eksplisitt krav, både når det gjelder data i ro og data under overføring.

Dette betyr at e-post, dokumenter og databaselagring må sikres med sterk kryptering. Like viktig er det å ha kontroll på hvordan krypteringsnøkler håndteres, og hvem som har tilgang til dem.

Kryptering beskytter ikke bare mot ytre trusler, men hjelper også med å sikre konfidensialitet ved tap eller tyveri av enheter og lagringsmedier.

Tiltak som anbefales:

• Kryptering av alle mobile enheter og bærbare datamaskiner

• Bruk av sikre protokoller som TLS/SSL for datakommunikasjon

• Kontrollert og sikker nøkkelhåndtering

 9. Varsling

Virksomheter som omfattes av NIS2 – enten som essensielle eller viktige enheter – er pålagt å varsle nasjonale myndigheter ved hendelser som har en betydelig innvirkning på tilgjengelighet, konfidensialitet, integritet eller autentisitet i deres nettverks- og informasjonssystemer. I Norge vil det være Nasjonal sikkerhetsmyndighet (NSM) som har koordinerende ansvar for NIS2, og som tar imot varsler. I tillegg kan det være nødvendig å varsle sektorspesifikke myndigheter (som Finanstilsynet eller Helsedirektoratet), og i noen tilfeller også Datatilsynet, dersom personopplysninger er berørt.

• Tidlig varsling innen 24 timer
  Innen 24 timer etter at en hendelse er oppdaget, skal virksomheten sende et foreløpig varsel til relevant myndighet. Dette trenger ikke inneholde alle detaljer, men skal gi et overblikk over situasjonen og en foreløpig vurdering av alvorlighetsgrad og konsekvenser.

• Detaljert rapport innen 72 timer
  Innen tre døgn skal virksomheten sende en mer utfyllende rapport med oppdaterte detaljer om hendelsen, årsak, omfang, berørte systemer, og hvilke tiltak som er igangsatt.

• Sluttrapport innen én måned
  Når hendelsen er håndtert, skal det sendes en sluttrapport med læringspunkter, årsaksanalyse og en vurdering av hvordan virksomheten vil unngå tilsvarende hendelser i fremtiden

Ikke vent med NIS2 – begynn nå

Å etterleve NIS2 kan virke omfattende, men de fleste tiltakene handler om god praksis for informasjonssikkerhet. Ved å starte nå og jobbe systematisk gjennom disse åtte områdene, vil dere ikke bare møte lovkravene – dere vil også styrke virksomhetens evne til å tåle og håndtere digitale trusler.

Det handler ikke bare om å unngå bøter eller avvik – det handler om å beskytte verdier, opprettholde drift, bygge tillit og stå sterkt i et stadig mer digitalt samfunn. NIS2 er ikke bare en plikt, det er en investering i fremtiden.

Klar for NIS2? Cyberon hjelper deg

Cyberon Security er din solide sikkerhetspartner og hjelper deg overholde kravene i NIS2. Fyll ut skjema under eller kontakt oss på support@cyberon.no