Om vi börjar så här – vad exakt är kraven? Som vanligt med EU-direktiv kommer det inte med specifika krav. Det beror på att direktiven ska gå att anpassa efter varje medlemsstat och hur lagar och förordningar ser ut lokalt. Dessutom har olika typer av verksamheter olika utmaningar och man vill hålla direktiven övergripande så […]
Om vi börjar så här – vad exakt är kraven?
Som vanligt med EU-direktiv kommer det inte med specifika krav. Det beror på att direktiven ska gå att anpassa efter varje medlemsstat och hur lagar och förordningar ser ut lokalt. Dessutom har olika typer av verksamheter olika utmaningar och man vill hålla direktiven övergripande så de passar alla. Däremot nämner direktivet förslag på områden som kan vara aktuella att jobba med, så som Zero Trust inkluderande IAM, IGA och PAM, uppdateringar och enhetskonfiguration, nätverkssegmentering och utbildning.
Dessutom nämns leveranskedjan, alltså att företag som berörs av NIS2 behöver säkerställa att leverantörerna även klarar NIS2-direktiven. Så om vi bryter ner det, vad ska man göra?
Det första man behöver göra enligt Lovisa Stenbäcken Stjernlöf är att inventera och organisera.
– Förmodligen finns det en hel del material att gå igenom, så tipset är att inventera, sammanfatta och organisera i en NIS2-rapport. Kanske har man redan gjort mycket jobb med en ISO 27001-certifiering?
Annars kan man börja här:
Ett ytterligare tips är att använd NIS2-direktivet som underlag för att ställa krav till partners och leverantörer. Steg två är enligt Lovisa att lära sig mer om Zero Trust.
– Ett bra nästa steg är att läsa på om Zero Trust, om man inte redan är bekant med det området. Begreppet innebär att rätt person ska ha rätt åtkomst vid rätt tidpunkt och att det kontinuerligt ska utvärderas. Begreppet omfattar egentligen mycket kring IAM, IGA och PAM, så med det på plats har ni löst mycket.
Ett tredje steg är att titta mer på hur ni säkrar enheter och nätverk. Precis som med de andra områdena är det viktigt att göra en total översyn för att eventuellt identifiera hål. Ta hjälp av leverantörer eller partners och gör en riskanalys. Dessutom bör man ställa sig frågan ”Hur vet vi om vi har en incident?”.
Sist men inte minst – utbilda dina medarbetare.
– En sista men väldigt värdefull del är att göra en översyn av utbildningsinsatser för medarbetare och andra intressenter. Det är i dag vida känt att de största säkerhetsbristerna är vi användare och minsta oförsiktiga klick kan få katastrofala följder för din verksamhet. NIS2 lägger stor vikt vid utbildning av medarbetare och på att utbildningsmaterialet ska göras lättillgängligt och engagerande. Om utbildningarna upplevs tråkiga och komplicerade blir kunskapsupptagningen lidande. Glöm inte att även ta med cybersäkerhet i den kontinuerliga kommunikationen till medarbetarna.
– Mitt sista råd blir därför att inte tveka att ta hjälp utifrån för att se till att hela verksamheten står redo inför nätverks- och systemrelaterade risker, avslutar Lovisa.
Aktuell Säkerhet jobbar för alla som vill göra säkrare affärer och är därför en säker informationskälla för säkerhetsansvariga inom såväl privat som statlig och kommunal sektor. Vi strävar efter förstahandskällor och att vara på plats där det händer. Trovärdighet och opartiskhet är centrala värden för vår nyhetsjournalistik
Anmäl dig till vårt nyhetsbrev!
Genom att klicka på "Prenumerera" ger du samtycke till att vi sparar och använder dina personuppgifter i enlighet med vår integritetspolicy.
