Så implementerar du NIS2 i din organisation – en praktisk vägledning

Vad innebär NIS2?

NIS2 gäller för så kallade “väsentliga” och “viktiga” aktörer inom sektorer som energi, transport, digital infrastruktur, hälso- och sjukvård, samt vissa IT-tjänsteleverantörer. Syftet är att höja den gemensamma cybersäkerhetsnivån i hela EU.

Steg för att implementera NIS2

ENISA:s vägledning identifierar 13 huvudområden som bör täckas i en NIS2-implementering:

1. Säkerhetspolicy för nätverk och informationssystem
   Dokumentera företagets övergripande strategi för cybersäkerhet, inklusive mål, roller, resurser och uppföljning.
2. Riskhantering
   Inför ett ramverk för att identifiera, analysera och hantera säkerhetsrisker. Genomför regelbundna revisioner och uppdateringar.
3. Incidenthantering
   Skapa rutiner för att upptäcka, rapportera och hantera säkerhetsincidenter, inklusive eftergranskning.
4. Kontinuitetsplanering och krishantering
   Säkerställ att verksamheten kan återställas efter störningar, med backup och redundans.
5. Leverantörssäkerhet
   Kartlägg och utvärdera säkerheten hos alla externa leverantörer och tjänsteleverantörer.
6. Säker utveckling och underhåll av IT-system
   Implementera säkerhetskrav vid inköp, utveckling och uppdatering av system.
7. Utvärdering av säkerhetsåtgärder
   Mät och dokumentera effektiviteten i de tekniska och organisatoriska åtgärderna.
8. Cyberhygien och utbildning
   Genomför regelbunden utbildning och medvetandehöjande insatser för personalen.
9. Kryptografi
   Använd kryptering för att skydda känslig information.
10. Personal- och HR-säkerhet
    Säkerställ att rätt personer har rätt behörigheter och att säkerhetsrutiner följs vid anställning och avslut.
11. Behörighetskontroll
    Hantera åtkomsträttigheter, särskilt för privilegierade konton.
12. Tillgångshantering
    Dokumentera och skydda företagets tillgångar, inklusive flyttbar media.
13. Fysisk och miljömässig säkerhet
    Skydda lokaler och utrustning mot fysiska hot.

Dokumentation och bevis

För varje område bör företaget kunna visa upp dokumenterade policies, godkännanden från ledningen, utbildningsbevis och tekniska loggar. ENISA betonar att dessa dokument inte behöver följa en viss mall, men bör vara tydliga, aktuella och godkända.

Slutsats

Att implementera NIS2 är inte bara en juridisk skyldighet – det är en strategisk investering i företagets motståndskraft. Genom att följa ENISA:s vägledning kan organisationer bygga en robust säkerhetsstruktur som uppfyller både EU-krav och branschstandarder.

 

Nedan följer en mer detaljerad genomgång för respektive steg.

1. Policy för säkerhet i nätverk och informationssystem

Vägledning

• – Utforma en övergripande säkerhetspolicy som omfattar alla system och tillgångar.
• – Säkerställ att policyn är godkänd av ledningen och kommunicerad till berörd personal.
• – Inkludera mål, roller, resurser och uppföljningsmekanismer.

Exempel på bevis

• – Godkänd säkerhetspolicy med datum och signatur.
• – Kommunikationsloggar och kvittenser från personal.
• – Rollfördelning och ansvarsdokumentation.

Praktiska tips

• – Använd en mall som följer ISO/IEC 27001.
• – Uppdatera policyn årligen eller vid större förändringar.

Relevanta standarder och metoder

• – ISO/IEC 27001:2022
• – NIST Cybersecurity Framework

 

 

2. Policy för riskhantering

Vägledning

• – Inför ett ramverk för att identifiera, analysera och hantera risker.
• – Dokumentera riskbedömningar och åtgärdsplaner.
• – Genomför regelbundna revisioner.

Exempel på bevis

• – Riskregister och analysrapporter.
• – Protokoll från riskbedömningar.
• – Uppföljningsdokumentation.

Praktiska tips

• – Använd verktyg som stödjer ISO/IEC 27005.
• – Involvera alla affärsområden i riskbedömningen.

Relevanta standarder och metoder

• – ISO/IEC 27005
• – CEN/TS 18026:2024

3. Incidenthantering

Vägledning

• – Skapa en incidenthanteringsplan med tydliga roller och processer.
• – Implementera loggning och övervakning.
• – Genomför övningar och eftergranskningar.

Exempel på bevis

• – Incidentrapporter och loggar.
• – Övningsprotokoll.
• – Kommunikationsplan vid incidenter.

Praktiska tips

• – Använd SIEM-verktyg för övervakning.
• – Dokumentera lärdomar från varje incident.

Relevanta standarder och metoder

• – ISO/IEC 27035
• – NIST SP 800-61

4. Kontinuitetsplanering och krishantering

Vägledning

• – Utveckla en BCP och DRP som täcker kritiska funktioner.
• – Säkerställ backup och redundans.
• – Testa återställningsförmågan regelbundet.

Exempel på bevis

• – BCP/DRP-dokumentation.
• – Backupstrategi och testloggar.
• – Krisövningsprotokoll.

Praktiska tips

• – Använd 3-2-1 backupprincipen.
• – Inkludera kommunikationsstrategi i krisplanen.

Relevanta standarder och metoder

• – ISO/IEC 22301
• – ENISA Business Continuity Guidelines

5. Leverantörssäkerhet

Vägledning

• – Kartlägg alla leverantörer och bedöm deras säkerhetsnivå.
• – Inför säkerhetskrav i avtal.
• – Genomför revisioner och uppföljningar.

Exempel på bevis

• – Säkerhetsbilagor i avtal.
• – Leverantörsbedömningar.
• – Revisionsrapporter.

Praktiska tips

• – Använd en leverantörsportal för riskklassificering.
• – Inkludera SLA med säkerhetsindikatorer.

Relevanta standarder och metoder

• – ISO/IEC 27036
• – ENISA Supply Chain Security Guidelines

6. Säkerhet vid anskaffning, utveckling och underhåll

Vägledning

• – Inför säkerhetskrav vid upphandling av IT-system.
• – Implementera Secure Development Lifecycle.
• – Dokumentera patchhantering och konfigurationsändringar.

Exempel på bevis

• – Upphandlingsdokument med säkerhetskrav.
• – Kodgranskningsprotokoll.
• – Patchloggar och versionshantering.

Praktiska tips

• – Använd DevSecOps-principer.
• – Testa säkerheten före produktionssättning.

Relevanta standarder och metoder

• – ISO/IEC 27034
• – OWASP SAMM

7. Utvärdering av cybersäkerhetsåtgärder

Vägledning

• – Mät effektiviteten i säkerhetsåtgärder med KPI:er.
• – Genomför interna och externa revisioner.
• – Dokumentera förbättringsåtgärder.

Exempel på bevis

• – Revisionsrapporter.
• – KPI-uppföljning.
• – Förbättringsloggar.

Praktiska tips

• – Använd dashboard för visuell uppföljning.
• – Involvera ledningen i utvärderingen.

Relevanta standarder och metoder

• – ISO/IEC 27004
• – NIST CSF Measurement Framework

8. Cyberhygien och utbildning

Vägledning

• – Utbilda personalen i grundläggande cybersäkerhet.
• – Genomför phishing-simuleringar.
• – Inför policyer för lösenord och MFA.

Exempel på bevis

• – Utbildningsplan och deltagarlistor.
• – Simuleringsresultat.
• – Policydokumentation.

Praktiska tips

• – Använd e-learningplattformar.
• – Uppdatera utbildningen årligen.

Relevanta standarder och metoder

• – ISO/IEC 27002:2022
• – ENISA Awareness Guidelines

9. Kryptografi

Vägledning

• – Använd stark kryptering för data i vila och i transit.
• – Hantera nycklar säkert.
• – Dokumentera certifikat och algoritmer.

Exempel på bevis

• – Certifikatloggar.
• – Nyckelhanteringspolicy.
• – Krypteringsinställningar.

Praktiska tips

• – Använd TLS 1.3 och AES-256.
• – Rotera nycklar regelbundet.

Relevanta standarder och metoder

• – ISO/IEC 27010
• – ETSI EN 319 401

10. HR-säkerhet

Vägledning

• – Genomför bakgrundskontroller vid anställning.
• – Hantera behörigheter vid rollförändringar.
• – Dokumentera avslutsprocesser.

Exempel på bevis

• – HR-policyer.
• – Behörighetsloggar.
• – Avslutsprotokoll.

Praktiska tips

• – Integrera HR-system med IAM.
• – Utför exit-intervjuer med säkerhetsfokus.

Relevanta standarder och metoder

• – ISO/IEC 27001:2022
• – ISO/IEC 27002:2022

11. Behörighetskontroll

Vägledning

• – Inför rollbaserad åtkomstkontroll (RBAC).
• – Hantera privilegierade konton separat.
• – Implementera MFA.

Exempel på bevis

• – Access control listor.
• – Loggar från behörighetsändringar.
• – MFA-konfigurationer.

Praktiska tips

• – Granska behörigheter kvartalsvis.
• – Använd PAM-verktyg för privilegierade konton.

Relevanta standarder och metoder

• – ISO/IEC 27001:2022
• – NIST SP 800-53

12. Tillgångshantering

Vägledning

• – Inventera och klassificera alla tillgångar.
• – Inför policy för flyttbar media.
• – Dokumentera tillgångars livscykel.

Exempel på bevis

• – Inventarielistor.
• – Klassificeringsdokument.
• – Policyer för mediahantering.

Praktiska tips

• – Använd CMDB-system.
• – Utför regelbundna revisioner.

Relevanta standarder och metoder

• – ISO/IEC 27002:2022
• – ISO/IEC 27001:2022

13. Fysisk och miljömässig säkerhet

Vägledning

• – Skydda lokaler med passersystem och kameror.
• – Säkerställ redundans i el och kyla.
• – Dokumentera åtkomstzoner.

Exempel på bevis

• – Ritningar och säkerhetszoner.
• – Loggar från passersystem.
• – Besökshanteringsprotokoll.

Praktiska tips

• – Utför penetrationstester av fysisk säkerhet.
• – Använd UPS och generatorer.

Relevanta standarder och metoder

• – ISO/IEC 27001:2022
• – ENISA Physical Security Guidelines

 

Som källa till denna artikel har vi hämtat information från: ENISA_Technical_implementation_guidance_on_cybersecurity_risk_management_measures_version_1.0.pdf