Gjør organisasjonen din klar for NIS2 - et praktisk veikart

kvinne-stjerne-front-bygning
Skrevet av
Clara Westman
Lesetid
3 min

Det nye NIS2-direktivet gir nye spilleregler for cybersikkerhet og risiko. Struktur, ledelse og systemstøtte vil være avgjørende for å fremtidssikre organisasjonen din. Her presenterer Stratsys-ekspert Per Gustavsson fem trinn for å gjøre organisasjonen klar for lovgivningen.


I juli 2023 trådte EUs NIS2-direktiv i kraft. Og direktivet vil bli implementert i svensk lov i form av den nye cybersikkerhetsloven, sannsynligvis innen utgangen av 2025. Direktivet er et svar på et trusselbilde i rask endring, der cyberangrep ikke lenger bare er et IT-problem. Det har blitt en virksomhetskritisk trussel med potensielt samfunnsmessige konsekvenser.

NIS2 - et strategisk spørsmål for ledelsen

NIS2 skiller seg fra forgjengeren NIS på flere viktige punkter. Med krav om blant annet ledelsesansvar og rask respons på hendelser er etterlevelse av den nye lovgivningen et forretningskritisk spørsmål. Så hvordan skiller den seg egentlig fra tidligere lovgivning?

Per Gustavsson er CISO i Stratsys og spesialist på informasjonssikkerhet:

- NIS2 har et mye bredere virkeområde enn NIS. Den omfatter både kritiske og viktige aktører innen alt fra energi, vann, transport og helsevesen til digital infrastruktur og offentlig sektor.

- En annen forskjell er at mange private selskaper vil være omfattet. Kriteriene er ikke lenger bare basert på virksomhetsområde, men også på størrelse. Ofte er det en relevant sektor, minst 50 ansatte og en omsetning på over 10 millioner euro.

Per sier at dette gjør NIS2 til et strategisk spørsmål. I store organisasjoner kan cybersikkerhet ikke lenger ses på som et anliggende for IT-avdelingen, men som et strategisk ansvar for hele ledelsen. Organisasjoner som ikke handler, risikerer ikke bare regulatoriske tiltak og bøter. De risikerer også å miste tilliten fra kunder, investorer og samfunnet for øvrig.

Per Gustavsson - Stratsys
Per Gustavsson, CISO i Stratsys

Veikart for etterlevelse

Selv om mange organisasjoner allerede har gode sikkerhetsrutiner på plass, stiller NIS2 nye krav. NIS2 hever rett og slett listen for informasjonssikkerhet. Det krever ikke bare tekniske sikkerhetstiltak - det krever dokumentert styring, tydelig ansvarlighet og sporbar rapportering. Hvis organisasjonen din mangler en velutviklet plan, er det en betydelig risiko for at du ikke oppfyller viktige deler av direktivets krav.

Ifølge Per er et tydelig veikart forretningskritisk for å oppfylle kravene i den nye lovgivningen. Han peker på flere grunner til dette:

  • Strengere krav til ledelsens ansvarlighet. Det forventes at styrer og toppledelse er klar over risikoene og kan vise at de etterlever kravene. Uvitenhet er ikke lenger en unnskyldning.
  • Rapportering av hendelser innen 24 timer. Organisasjonen må ha prosesser på plass for å identifisere, analysere og rapportere hendelser i tide og på en nøyaktig måte.
  • Leverandørkjeden er inkludert. Kravene gjelder ikke bare for organisasjonen selv, men også for leverandører og samarbeidspartnere.
  • Risiko for bøter. EU har åpnet for høye bøter - opptil 10 millioner euro eller 2 % av den globale omsetningen for alvorlige brudd på kravene.

Spørsmålet er med andre ord ikke om det er en god idé å etterleve kravene. Det er et spørsmål om hvor raskt og strukturert det kan gjøres.

Fem trinn til etterlevelse

Et omfattende regelverk som NIS2 stiller store krav til organisasjonen og dens evne til å drive effektivt. Så hvordan skal dette gjøres?

- Det handler ikke minst om å finne en iterativ og systematisk måte å gjennomføre tiltakene på, sier Per. Tiltakene spenner fra kartlegging, gapanalyse og retningslinjer til forankring i ledelsen og ansvarsfordeling. For ikke å snakke om kontinuerlig overvåking og forbedring.

Per skisserer de viktigste trinnene i veikartet ditt - basert på etablert GRC-logikk, men tilpasset NIS2:

  1. Kartlegg eiendeler og systemer
    Identifiser hvilke systemer, tjenester og informasjonsressurser som er mest kritiske. Dokumentasjonen må vise en klar forståelse av hvilke verdier som må beskyttes - og hvorfor. Involver virksomheten tidlig i prosessen - de vet hva som virkelig er forretningskritisk.
  2. Gjennomfør risikoanalyse og gap-analyse
    Identifiser hvor dere allerede er i samsvar med kravene, og hvor det finnes mangler. NIS2 lister opp ti spesifikke sikkerhetstiltak. En godt gjennomført gap-analyse gir en tydelig prioriteringsliste: hva som må oppdateres, hva som må implementeres, og hvor det kreves nye ressurser.
  3. Oppdater retningslinjer og prosesser
    Oppdater retningslinjene for blant annet informasjonssikkerhet, hendelseshåndtering og leverandørkontroller. Klargjør rapporteringsveier for hendelser. Dokumenter rutiner for kontroll, oppfølging og ansvar. Husk at det ikke bare handler om å ha dokumenter, men å etterleve dem.
  4. Forankre i ledelsen og tildel ansvar
    Ledelsen har et eksplisitt ansvar. Styret, administrerende direktør, CISO, CIO - alle må forstå sin rolle i det proaktive cybersikkerhetsarbeidet. Sørg for at det er klart hvem som har ansvar for hva - både strategisk og operasjonelt. Sørg også for at ledelsen får regelmessig oppfølging og risikorapportering.
  5. Implementer kontinuerlig overvåking og forbedring
    NIS2 er en kontinuerlig prosess. Derfor må du etablere mekanismer for kontinuerlig overvåking og forbedring. Dette kan for eksempel omfatte styringspaneler, regelmessige gjennomganger av retningslinjer, interne revisjoner eller dokumentasjon av tiltak, avvik og forbedringsforslag.

Plattformens rolle for effektiv styring

Excel-lister, e-posttråder og ad hoc-tiltak blir fort uhåndterlige i en stor organisasjon. Derfor er en sterk systemstøtte ikke bare et verktøy, men en strategisk muliggjører.

Ifølge Per gjør en moderne GRC-plattform det blant annet mulig å

  • Samle all dokumentasjon på ett sted.
  • Håndtere risiko- og gap-analyser på en strukturert måte.
  • Automatisere påminnelser, rapportering og oppfølging
  • Visualisere status for ledelse og tilsyn
  • Forenkle det interne samarbeidet mellom CISO, IT, risiko, drift og ledelse.

Tips

Stratsys GRC-plattformen gir en komplett struktur for å oppfylle NIS2 - når det gjelder alt fra risikovurdering og styring til rapportering og oppfølging. Alt på ett sted, skreddersydd for din organisasjon.

Fremtidssikre organisasjonen din - i dag

Å bygge et veikart for NIS2 er ikke bare en måte å oppfylle lovkravene på. Det er en investering i langsiktig bærekraft, sikkerhet og troverdighet, ifølge Per:

- Organisasjoner som allerede i dag kartlegger eiendelene sine, får på plass riktig struktur og bruker systemstøtte som forenkler etterlevelse, vil stå sterkere. Ikke bare for å takle tilsyn, men også for å møte fremtidens utfordringer.

Roadmap for NIS2 – i korte trekk

  • Kartlegg systemer og informasjonskriterier
  • Gjennomfør gap-analyse mot NIS2
  • Oppdater policyer og prosesser
  • Forankre i ledelsen og fordel ansvar
  • Etabler kontinuerlig oppfølging

Vil du vite mer om hvordan Stratsys GRC-plattform kan hjelpe din organisasjon med å etterleve NIS2?

mint-gradient-hero-banner_Start_blue-1