Nya Cybersäkerhetslagen, Sveriges version av NIS 2 och CER), är i skrivande stund ett halvår bort och det är hög tid att prioritera upp förberedelserna. Men låt er inte luras av leverantörer som säljer tekniska lösningar med löfte om NIS 2-compliance. Det finns ingen quick-fix, vilket är hela idén bakom direktivet!
Självklart är teknik en del av lösningen men NIS 2 är bredare än så och handlar om planering och förberedelse inom organisationen inför olika typer av hot och hjälper er förstå vilka skyddskontroller ni ska satsa på.
Många känner nog att NIS 2 är stort, komplext och drar mycket resurser och i viss mån är det så. Men om man väljer att istället fokusera på möjligheterna gör resultatet stor skillnad för företagets motståndskraft.
Här följer några exempel på områden som gör att alla med säkerhetsansvar sover bättre om natten:
- Risker är identifierade och hanterade på ett adekvat sätt
-
Riskhantering – upprättande av ett riskregister samt rutiner för att löpande jobba med riskbedömning – gör att er organisation vet vilka hot man ska skydda sig mot. Genom att klassa alla risker med hjälp av en riskmatris får ni dessutom ett underlag för vilka åtgärder som behöver prioriteras. Inte minst viktigt eftersom ingen har resurser för att skydda sig mot allt.
- Rätt säkerhetskontroller finns på plats och uppföljning som visar att de fungerar
-
När riskbedömningen är klar gäller det att hitta kontroller för att hantera varje risk. Det kan vara en arbetsrutin, en teknisk säkerhetsfunktion eller en kombination av båda. I ISO 27001-standarden kallas detta för SoA (Statement of Applicability).
När varje kontroll etableras är det viktigt att utse en ansvarig och dokumentera hur kontrollen fungerar, hur den ska underhållas över tid och vem resultatet ska rapporteras till.
- Ni är förberedda på katastrofscenarion och alla vet hur man ska agera och kommunicera
-
Kontinuitetsplanering är en annan viktig del av NIS2. Om något händer ska en beredskap finnas för att säkerställa att tjänsten fungerar så långt det är möjligt. Organisationens motståndskraft ökar betydligt när tydliga rutiner finns som beskriver hur man ska agera och kommunicera i ett krisläge.
Det här är också något som organisationen måste öva på regelbundet. Övningarna är också ett viktigt verktyg för ständig förbättring av rutinerna då eventuella brister kommer visa sig rätt snabbt. Forskning visar också att det är viktigare att förbereda sig för konsekvenser, snarare än specifika anledningar. Det finns exempelvis många anledningar till att man står utan elektricitet. Lägg då fokus på den nivån istället för att bli för detaljerad.
- Alla medarbetare är säkerhetsmedvetna och bidrar på olika sätt till motståndskraften
-
Metoderna för att kringgå alla säkerhetsåtgärder är många och förändras ständigt och därför räcker det inte med tekniska säkerhetslösningar. Att skapa medvetenhet genom kontinuerlig utbildning och träning för olika målgrupper inom organisationen är inte bara en framgångsfaktor utan en absolut nödvändighet.
- Plattformen bidrar till ständig förbättring
-
Rätt implementerat i organisationen, med tydliga roller och ansvar samt rutiner för uppföljning och rapportering, har ni skapat en plattform som gynnar ständig förbättring och garanterar att ert säkerhetsarbete fungerar och utvecklas över tid.
- Instant compliance: Ni vet alltid, i realtid, er compliance status mot olika ramverk.
-
Det systematiska säkerhetsarbetet och det decentraliserade ansvaret inom organisationen skapar också förutsättningarna för att alltid vara up-to-date och att inget faller mellan stolarna. En rapport visar då alltid det aktuella säkerhetsläget och kan rapporteras uppåt till ledningen, men underlättar också vid en eventuell revision.
- Anpassning till nya ramverk och lagkrav förenklas betydligt.
-
Om arbetet vi beskriver ovan har följt någon slags ramverk för informationssäkerhet så har ni ökat er cybermotståndskraft betydligt och ni kan tydligt visa att ni uppfyller kraven.
Om nya lagar och regleringar dyker upp så har ni redan en bra grund att stå på. Det enda ni behöver göra är en GAP-analys som visar vilka nya krav ni behöver lägga till i ert cybersäkerhetsarbete. Det mesta finns ju redan på plats!
Tveka inte att kontakta mig!