Allmänt
Vad betyder det att du evidensbaserat följer NIS2-direktivet?
Att följa NIS2-direktivet är inte bara en fråga om att ha rätt säkerhetsrutiner – det handlar också om att kunna visa upp konkreta bevis på att dessa rutiner är implementerade, dokumenterade och efterlevs. Här är hur du kan göra det evidensbaserat.
- Dokumentation av säkerhetspolicyer
- Godkända och signerade säkerhetspolicyer
- Kommunikationsloggar som visar att personalen tagit del av dem
- Rollfördelning och ansvarsförteckningar
- Riskhantering
- Riskregister med identifierade hot och åtgärder
- Protokoll från regelbundna riskbedömningar
- Metodbeskrivningar enligt t.ex. ISO/IEC 27005
- Incidenthantering
- Incidentrapporter med tidsstämplar
- Loggar från SIEM-system
- Övningsprotokoll från simulerade incidenter
- Kontinuitetsplanering
- Business Continuity Plan (BCP) och Disaster Recovery Plan (DRP)
- Backupstrategier och testloggar
- Återställningsövningar
- Leverantörssäkerhet
- Avtal med säkerhetskrav (SLA)
- Leverantörsbedömningar och revisionsrapporter
- Riskklassificering av externa parter
- Utbildning och medvetenhet
- Utbildningsplaner och deltagarlistor
- Resultat från phishing-simuleringar
- Policyer för lösenord och multifaktorautentisering
- Teknisk evidens
- Loggar från brandväggar, antivirus och EDR/XDR-system
- Konfigurationshistorik och patchhantering
- Krypteringsinställningar och certifikatloggar
- Interna och externa revisioner
- Revisionsrapporter från tredje part
- Interna kontroller och förbättringsloggar
- KPI-uppföljning av säkerhetsåtgärder
Sammanfattning
För att evidensbaserat visa att man arbetar enligt NIS2 krävs en kombination av dokumentation, tekniska loggar, utbildningsbevis och revisionsresultat. Allt bör vara strukturerat, uppdaterat och lättillgängligt vid granskning av tillsynsmyndigheter.
