Vad exakt är kraven?
Som vanligt med EU-direktiv kommer det inte med specifika krav. Det beror på att direktiven ska gå att anpassa efter varje medlemsstat och hur lagar och förordningar ser ut lokalt. Dessutom har olika typer av verksamheter olika utmaningar och man vill hålla direktiven övergripande så de passar alla. Däremot nämner direktivet förslag på områden som kan vara aktuella att jobba med:
- Zero trust
- Programuppdateringar
- Enhetskonfiguration
- Nätverkssegmentering
- Identitets- och åtkomsthantering
- Utbildning av medarbetare
Dessutom nämns leveranskedjan, alltså att din NIS2-berörda verksamhet behöver säkerställa att leverantörerna också klarar NIS2-direktiven. Så om vi bryter ner det, vad ska man göra?
Steg 1: inventera och organisera
Förmodligen finns det en hel del material att gå igenom, så tipset är att inventera, sammanfatta och organisera i en NIS2-rapport:
- Lista din verksamhets system, åtminstone de kritiska
- Genomför risk- och krishanteringsworkshops för dessa system
- Samla information om partners och kontaktpersoner
- Ta fram en åtgärdsplan till eventuella störningar/avbrott
- Lista även andra leverantörer, speciellt de som verksamheten är kritiskt beroende av
- Skapa liknande risk- och krishanteringsplaner för dessa
Tips: Använd NIS2-direktivet som underlag för att ställa krav till partners och leverantörer!
Steg 2: lär dig mer om Zero Trust
Ett bra nästa steg är att läsa på om Zero Trust, om du inte redan är bekant med det området. Begreppet innebär att rätt person ska ha rätt åtkomst vid rätt tidpunkt och att det kontinuerligt ska utvärderas. Med en modern Identity and Access Managementlösning (IAM) på plats kan du enkelt få en överblick och införa den här typen av policies på ett och samma ställe och samtidigt lösa identitets- och åtkomsthanteringen. Har du redan lösningar för IAM och Identity Governance and Administration (IGA) i olika legacy-lösningar och det inte finns möjlighet att uppdatera dem, skulle jag rekommendera att göra en rejäl översyn på dessa lösningar och sätta ihop en rapport som beskriver hur de hänger ihop och vilka verksamhetens planer för efterlevnad samt krisberedskap är.
Med ett Device managementsystem kan du enkelt konfigurera alla enheter inom verksamheten och hålla telefoner, tablets och datorer och uppdaterade för ökad säkerhet. Ett extra säkerhetssteg här kan vara att enbart enheter med senaste uppdateringarna ges access. En bra idé är även att använda en EPP (Endpoint protection platform) för att skydda användarna från att till exempel ladda ner skadlig programvara, och att se till att brandväggen är aktiverad och uppdaterad.
Steg 3: dela upp nätverket i flera segment
Med Nätverkssegmentering delar du in din verksamhets nätverk i olika segment och begränsar därmed utbytet dem emellan kraftigt. Det är en process som följer least privilege access-modellen och gör att skadlig kod, virus och trojaner inte kan ta sig mellan de olika nätverksdelarna. Därmed ökar säkerheten och motståndskraften och segmenteringen ger bättre prestanda för varje enskild del som då också säkerställer tillgängligheten.
Steg 4: utbilda dina medarbetare
En sista men väldigt värdefull del är att göra en översyn av utbildningsinsatser för medarbetare och andra intressenter. Det är i dag vida känt att de största säkerhetsbristerna är vi användare och minsta oförsiktiga klick kan få katastrofala följder för din verksamhet. NIS2 lägger stor vikt vid utbildning av medarbetare och på att utbildningsmaterialet ska göras lättillgängligt och engagerande. Om utbildningarna upplevs tråkiga och komplicerade blir kunskapsupptagningen lidande, så ett tips är att dela upp utbildningarna i flera små segment och kanske skicka ut korta utbildningsinsatser varje vecka. Då håller du också ämnet relevant och intressant för mottagarna. Det är även smart att tillhandahålla utbildningen både via nätet och live, då vi alla fungerar olika och lär oss på olika sätt. Fundera även på hur du kan blanda medier som text och video samt praktiska exempel, för maximal spridning. Glöm inte att även ta med cybersäkerhet i den kontinuerliga kommunikationen till medarbetarna!
Det här var bara några korta förslag på delar av NIS2. Mitt sista råd blir därför att inte tveka att ta hjälp utifrån för att se till att hela verksamheten står redo inför nätverks- och systemrelaterade risker. Vi på Advania finns självklart för att hjälpa till!
