NIS2-samsvar

Hvem gjelder det for ? Hva er ditt ansvar?
Nøkkelinformasjon om tiltak, virkeområde og sikkerhetsløsninger.

Kontakt oss

NIS2 – samsvar

Formålet med NIS2-direktivet er å øke motstandsdyktigheten i nettverks- og informasjonssystemer til både private og offentlige aktører som opererer i relevante sektorer i EU.

Les mer om NIS2-direktivet Ta NSM Cybersjekken her
AGS IT-partner illustrasjonsbilde

NIS2 virkeområde

De 2 kategoriene for enheter som blir påvirket (vesentlige og viktige) underlegges forskjellige tilsynsregimer og påvirkes også av størrelse. De 2 størrelsesgrupper vil få forskjellige bøter/straff dersom reglene brytes. (Unntak – også mindre virksomheter som anses for å ha en nøkkelrolle for samfunnet, økonomien eller en viss sektor, omfattes av NIS2.)

Vesentlige

1

Energi

2

Transport

3

Bank

4

Finansmarkeds infrastrukturer

5

Helse

6

Drikkevann

7

Avløpsvann

8

Digital infrastruktur

9

IKT-tjenester

10

Offentlig forvaltning (sentral og regional)

11

Romvirksomhet

Viktige

1

Post – og kurertjenester

2

Avfallshåndtering

3

Produksjon og distribusjon av kjemikalier

4

Matproduksjon

5

Produksjon av visse varer (medisinsk utstyr, IKT-utstyr, kjøretøy, elektronikk, maskiner, transportutstyr)

6

Tilbydere av digitale tjenester

7

Forskning

Betydelig størrelse: 250 ansatte og omsetning over €50 mill.
Viktig størrelse: 5-250 ansatte og omsetning over €10 mill.

Hva er NIS2-kravene?

10 konkrete minimumskrav for sikkerhet – NIS2 art. 21 (2)

Krav

Beskrivelse

(a) Risikoanalyse og sikkerhetspolicyer

Vurderingen bør omfatte både ytre og indre trusler, tekniske og organisatoriske sårbarheter, samt mulige konsekvenser for virksomheten og samfunnet ved bortfall av tjenester.

(b) Hendelseshåndtering

Virksomheter skal ha etablerte og dokumenterte planer for håndtering av sikkerhetshendelser. Formålet er å sikre at organisasjonen raskt og effektivt kan identifisere, håndtere og begrense konsekvensene av digitale angrep og alvorlige sikkerhetsbrudd.

(c) Beredskap

Virksomheter må ha en klar og tydelig beredskapsplan som omfatter hvordan man skal håndtere alvorlige avbrudd, for eksempel forårsaket av cyberangrep, naturkatastrofer eller tekniske feil som påvirker datasentre, nettverk eller andre kritiske systemer.

Løsninger for «backup og restore» må være grundig dokumentert og testet. Planen bør sikre at tjenestene kan opprettholdes eller gjenopptas innenfor en akseptabel tidsramme.

(d) Leverandørkjedesikkerhet

Leverandørkjeder er både kritiske og sårbare. I dag er disse kjeder ofte komplekse og lange, og virksomheter er avhengige av at de fungerer effektivt – gjerne i sanntid. Derfor må også leverandørene som er avgjørende for driften oppfylle relevante sikkerhetskrav.

Typiske eksempler på dette er ved utsourcing av tjenester eller bruk av skyløsninger og programvare levert som tjeneste (SaaS).

For å etterleve kravet må virksomheten etablere klare krav og kontroller i avtaler, og den må jevnlig følge opp og vurdere sikkerhetsnivået hos leverandørene.

(e) Sikkerhet ved anskaffelser, utvikling og vedlikehold

Bestemmelsen krever at innkjøp, utvikling og vedlikehold av nettverks- og informasjonssystemer integrerer informasjonssikkerhet fra start og gjennom hele systemets livssyklus. Dette betyr at man må planlegge anskaffelser og utvikling nøye, og stille klare sikkerhetskrav før avtaler inngås.

Vedlikeholdet må også sikre at sikkerheten opprettholdes over tid. I praksis bør vedlikeholdsavtaler være på plass før anskaffelse eller utvikling igangsettes.

En slik helhetlig tilnærming gir ikke bare bedre sikkerhet, men fører som regel også til det beste kommersielle resultatet, siden leverandøren da ofte vil være i en konkurransesituasjon.

(f) Cybersikkerhetsstyring, prosedyrer og vurdering av effektivitet

Virksomheter som påvirkes av NIS2 må opprette formelle styringssystemer og prosedyrer for cybersikkerhet. Dette skal bidra til å vurdere effekten av sikkerhetstiltakene. Prosessen vil tvinge virksomheten til å reflektere over hvordan de håndterer sikkerhet, samtidig som de dokumenterer arbeidet som blir gjort.

(g) Cyberhygiene og opplæring

I forordningen til NIS2 nevnes følgende eksempler på grunnleggende sikkerhetstiltak:

  • Zero-trust-prinsipper
  • Regelmessige programvareoppdateringer
  • Sikker enhetskonfigurasjon
  • Nettverkssegmentering
  • Identitets- og tilgangsstyring
  • Brukerbevisstgjøring og opplæring av ansatte om cybertrusler

Virksomheter må dessuten vurdere sine egne cybersikkerhetsevner og sikkerhetsteknologier, inkludert bruk av kunstig intelligens og maskinlæring, for å styrke sikkerheten i nettverk og informasjonssystemer.

(h) Rutiner for kryptering og databeskyttelse

Større virksomheter bør innføre klare rutiner og prosedyrer for bruk av kryptografi og kryptering. Dette arbeidet vil øke bevisstheten rundt sikkerhetsbehov, både når det gjelder å stille krav og velge riktige løsninger. Hvordan rutinene utformes, avhenger av resultatene fra risikovurderingen.

(i) Styring og administrasjon eiendeler, personell og tilganger

Menneskelige feil er en av de største årsakene til sikkerhetsbrudd. Hele 95 % av sikkerhetsbruddene involverer menneskelige feil, som innsidetrusler, feil bruk av påloggingsdetaljer og brukerrelaterte tabber. De fleste av disse skyldes manglende kunnskap eller uoppmerksomhet.

For å ha sikre systemer må man vite hva man har av eiendeler (aktiva) og hvilke tilganger disse har.

(h) MFA og sikker kommunikasjon

Virksomhetene skal ha:

  • flerfaktor-autentisering ELLER
  • kontinuerlige autentiseringsløsninger
  • sikret stemme, video og tekstkommunikasjon og
  • sikre nødkommunikasjonssystemer i virksomheten, når det er passende.

Hvordan sikre samsvar?

Krav

Mulige tiltak

(a) Risikoanalyse og sikkerhetspolicyer

Benytt anerkjente rammeverk som:

Dokumenter sikkerhetsmål, roller, ansvar og styringsstrukturer.

Innhent og bruk trusselvurderinger fra NorCERT, ENISA og/eller egne tjenesteleverandører.

Etabler rutiner for å revidere og oppdatere sikkerhetsrutiner ved vesentlige endringer i trusselbildet.

Sørg for ledelsesforankring og godkjenning av rutiner og risikovurderinger.

(b) Hendelseshåndtering
  • Utarbeid og dokumenter hendelseshåndteringsplan.
  • Planlegg klare ansvarsforhold og varsling til relevante myndigheter.
  • Gjennomfør regelmessige øvingsøkter og streb etter kontinuerlig forbedring.

(c) Beredskap

Utarbeid og vedlikehold planer for forretningskontinuitet og gjenoppretting, med klart definerte roller og prosesser.

Test planene jevnlig gjennom simulerte scenarioer, som for eksempel løsepengeangrep eller tap av sentrale dataressurser. Det betyr å holde regelmessige øvelser.

Sikre sikkerhetskopier offline og implementer uforanderlighet («immutability»), beskyttet med flerfaktorautentisering (MFA). Sørg for at det finnes backup-løsninger eller alternative systemer i kritisk infrastruktur, inkludert strøm, nettverk og tjenester.

Gjennomfør regelmessige revisjoner av gjenopprettingsprosessene.

(d) Leverandørkjedesikkerhet

Kartlegg og klassifiser alle kritiske leverandører, for eksempel innen drift, IaaS (Infrastructure as a Service), maskinvare og programvare.

Inkluder tydelige sikkerhetskrav i avtalene, med referanser til anerkjente standarder. Still også krav om regelmessige revisjoner, sikkerhetssertifiseringer og rapporter – som for eksempel SOC 2 Type II eller tilsvarende – både i avtaler og ved anskaffelser.

(e) Sikkerhet ved anskaffelser, utvikling og vedlikehold
  • Innfør klare anskaffelseskrav som omfatter sikkerhetsvurderinger og etablerte standarder.
  • Krev regelmessig sårbarhetstesting og tilgang til kildekode når det er nødvendig.
  • Opprett faste rutiner for sikker programvareoppdatering («patching») og sporbar versjonskontroll.

(f) Cybersikkerhetsstyring, prosedyrer og vurdering av effektivitet
  • Opprett et ISMS (Information Security Management System) for systematisk styring av informasjonssikkerhet.
  • Implementer GRC-verktøy (Governance, Risk and Compliance) for å styrke styring, risikohåndtering og etterlevelse.
  • Gjennomfør interne revisjoner og regelmessige ledelsesgjennomganger for å sikre kontinuerlig forbedring.
  • Engasjer eksterne rådgivere for å bygge et robust og effektivt system.

(g) Cyberhygiene og opplæring

Implementer sterke sikkerhetstiltak, som:

  • Passordrutiner og multifaktorautentisering (MFA)
  • Oppdatert antivirusprogramvare og klientkontroll
  • Gjennomfør opplæring i sosial manipulering, phishing og sikker digital adferd.
  • Simuler angrep for å teste beredskapen.
  • Tilby praktisk bevissthetsopplæring for å styrke kompetanse og årvåkenhet.

Bruk konfigurasjonsverktøy og automasjon, for eksempel:

  • Infrastructure as Code (IaC)
  • Systemer for sikkerhetsbaseline og digital etterlevelse
  • Sikker distribusjon og versjonskontroll
  • Sikring av programvareforsyningskjeden (inkludert leverandørkontroll og tredjepartsstyring)
  • Kontinuerlig systemovervåkning og dataintegritet

Følg prinsippene for «security by design» og «security by default» i alle leveranser. Verifiser og valider alle komponenter før de tas i bruk.

(h) Rutiner for kryptering og databeskyttelse

Utarbeide rutine med prosedyre for kryptering.

Hente inn bistand fra spesialister.

Bruke sikre nøkkelhåndteringssystemer, fortrinnsvis HSM (Hardware Security Modules).

(i) Styring og administrasjon eiendeler, personell og tilganger
  • Innfør rollebasert tilgangskontroll (RBAC) og IAM-verktøy for effektiv tilgangsstyring.
  • Gjennomfør regelmessige revisjoner av tilganger og overvåk brukeratferd for å oppdage avvik.
  • Utfør bakgrunnssjekker ved nyansettelser eller overgang til sensitive stillinger (innenfor lovens rammer).
  • Implementer klare rutiner for hendelseshåndtering og etabler en tydelig offboarding-prosess, inkludert fysisk adgangskontroll.
  • Gjør ansvarlige roller bevisste på kravene og forventningene.

(h) MFA og sikker kommunikasjon
  • Innfør flerfaktorautentisering (MFA) for alle brukere med tilgang til sensitive systemer.
  • Implementer kontinuerlig autentisering (KA) for løpende kontroll, helst i kombinasjon med MFA.
  • Krypter all kommunikasjon, inkludert samtaler, fildeling, chat og andre sensitive data.
  • Opprett dedikerte krisekommunikasjonskanaler for sikker og effektiv håndtering av hendelser.

Hva er målet med dette kravet?

Krav

Mål

(a) Risikoanalyse og sikkerhetspolicyer

Sikre at virksomheten har et oppdatert risikobilde og et dokumentert styringssystem for informasjonssikkerhet.

(b) Hendelseshåndtering
  • Rask respons og minimal skade ved sikkerhetshendelser.
  • Samordnet innsats internt og eksternt.
  • Overholdelse av varslingsplikt i henhold til NIS2 (og eventuelle andre regelverk)

(c) Beredskap

Sikre at virksomheten raskt kan gjenoppta tjenester og beskytte kritisk informasjon ved hendelser som truer driften.

(d) Leverandørkjedesikkerhet
  • Minimer risikoen for sikkerhetsbrudd forårsaket av tredjeparter.
  • Sikre at eksterne aktører ikke svekker virksomhetens drift.
  • Etabler tydelig sporbarhet og ansvarlighet gjennom hele leverandørkjeden.

(e) Sikkerhet ved anskaffelser, utvikling og vedlikehold
  • Reduser risikoen for sikkerhetshull og kompromittering knyttet til programvare.
  • Sikre at alle systemer gjennomgår en grundig sikkerhetsvurdering før de tas i bruk.
  • Oppretthold tilliten til digitale løsninger gjennom kontinuerlig og kontrollert vedlikehold.

(f) Cybersikkerhetsstyring, prosedyrer og vurdering av effektivitet
  • Integrere cybersikkerhet i virksomhetens styringsmodell.
  • Sikre kontinuitet, sporbarhet og ansvarlighet i sikkerhetsarbeidet.
  • Redusere risiko gjennom helhetlig kontroll og styring.

(g) Cyberhygiene og opplæring
  • Sikre solid grunnleggende sikkerhet i virksomheten.
  • Styrk ansattes evne til å gjenkjenne og håndtere trusler, som sosial manipulasjon og phishing.
  • Forhindre at enkle feil eller ubevisste handlinger resulterer i alvorlige sikkerhetshendelser.
  • Integrer sikkerhetstenkning som en naturlig del av daglige arbeidsrutiner.

(h) Rutiner for kryptering og databeskyttelse
  • Etablere sikker, effektiv og konsistent bruk av kryptering for å forhindre uautorisert tilgang og datalekkasjer.
  • Sikre pålitelig og sikker behandling av informasjon.
  • Skaffe tillit hos kunder og samarbeidspartnere.

(i) Styring og administrasjon eiendeler, personell og tilganger
  • Forhindre uautorisert tilgang til systemer og data.
  • Redusere risiko ved interne trusler og feil.
  • Sørge for sporbarhet og etterlevelse.

(h) MFA og sikker kommunikasjon
  • Hindre uautorisert tilgang til viktige systemer og data.
  • Sikre pålitelig og fortrolig kommunikasjon i drift og krise.
  • Øke tilliten og evnen til virksomhetens til å fortsette å levere sine tjenester.

NIST Cyber Security Framework

IDENTIFISER

  • Enhetstyring
  • Forbedring
  • Risikoanalyse

Få oversikt over kritiske forretningsprosesser, enheter og SaaS tilknyttet systemet, sensitive opplysninger, og såbarheter.

BESKYTT

  • Bevissthet og opplæring
  • Datasikkerhet
  • Identitetsstyring, autentisering og tilgangskontroll
  • Plattformsikkerhet
  • Teknologisk infrastruktur og motstandsdyktighet

Administrer tilgangsrettigheter, lær opp de ansatte om datasikkerhet, beskytt nettverket, endepunkter og sensitive opplysninger, bruk kryptering på enheter og e-post, automatiser oppdateringer, og etabler backup-rutiner.

OPPDAG

  • Analyse av uønskede hendelser
  • Kontinuerlig overvåking

Bruk sikkerhetsrutiner slik som overvåking av nettverket og systemer, opplæring om datasikkerhet, og aktiv trusseljakt.

TA GREP

  • Hendelsesanalyse
  • Hendelseshåndtering
  • Kontroll på hendelser
  • Rapportering og kommunikasjon ved hendelsesrespons

Planlegg og bli forberedt for et dataangrep.

GJENOPPRETT

  • Gjennomføring av gjenopprettingsplan for hendelser
  • Kommunikasjon ved hendelsesgjenoppretting

Sikre kontinuitet i bedriften med backup og gjenopprettelse som er pålitelig, rask, enkelt å bruke, og uavhengig av SaaS-leverandører.

REGELVERK OG SAMSVAR

  • Organisational Context – grunnleggende arbeid der en organisasjon definerer og forstår sitt unike miljø, mål, interessenter og begrensninger i forhold til styring av cybersikkerhetsrisiko.
  • Risikostyringsstrategi
  • Roller, ansvar og myndigheter
  • Policy
  • Styring av risiko i leverandørkjeden for cybersikkerhet
  • Tilsyn

Organisasjonens strategi, forventninger og policy for styring av cybersikkerhetsrisiko blir etablert, kommunisert og overvåket.

Hvilken sikkerhetsløsning kan hjelpe?

NIS2-krav

Løsning

(a) Risikoanalyse og sikkerhetspolicyer

Sikkerhetsrammeverk

NSM Cybersjekk

(b) Hendelseshåndtering

Sikkerhetssenter (SOC)

Sikkerhetsrammeverk

Smart Bedrift

Supportavtale

(c) Beredskap

Backup av Microsoft 365

Backup av server og PC

Smart Bedrift

(d) Leverandørkjedesikkerhet

Sikkerhetsrammeverk

(e) Sikkerhet ved anskaffelser, utvikling og vedlikehold

Sårbarhetsanalyse

Sikkerhetssenter (SOC)

(f) Cybersikkerhetsstyring, prosedyrer og vurdering av effektivitet

Sikkerhetsrammeverk

(g) Cyberhygiene og opplæring

Phishing og sikkerhetstrening

Sikkerhetssenter (SOC)

Sårbarhetsanalyse

Darkweb monitorering

Smart Bedrift

(h) Rutiner for kryptering og databeskyttelse

Antivirus

Nettvakt

Sikkerhetssenter (SOC)

Sikkerhetspakke I

Sikkerhetspakke II

Darkweb monitorering

Sikkerhetspakke III

Smart Bedrift

(i) Styring og administrasjon eiendeler, personell og tilganger

Sikkerhetsrammeverk

Smart admin

Sikkerhetssenter (SOC)

Administrasjon av enheter (MDM)

Smart Bedrift

Supportavtale

(h) MFA og sikker kommunikasjon

Sikkerhetspakke I

Sikkerhetssenter (SOC)

Antivirus

Nettvakt

Smart Bedrift

Gratis sikkerhetsrammeverk

Guide til sikring av bedriften

Dette er en presentasjon av et komplett sikkerhets-rammeverk som du kan bruke til å sikre bedriften din.

Se hvordan du kan oppfylle kravene

Dette vil hjelpe deg å oppfylle kravene til NSM’s fire grunnprinsipper og det kommende NIS2 regelverket fra EU.

Ta en workshop med oss!

Vi har laget en Sikkerhets Workshop med utgangspunkt i rammeverket til NSM som du kan bestille for bedriften din.

Les mer om sikkerhetsworkshop

Sikkerhetsrammeverk som gjelder alle

Rammeverket inneholder en veiledende anbefaling av hva slags sikkerhetstiltak kundebedriften bør implementere for å beskytte sine systemer og en ferdig utarbeidet generell og enhetsbasert sikkerhetspolicy.

Les mer om sikkerhetsworkshop
AGS IT-partner

Kontakt oss

Åpningstider

Mandag – Fredag: 08.00 – 16.00

Salg

33 29 10 00

E-post

salg@ags.no

Book et møte

Book et møte med oss

Send oss gjerne en melding ved å fylle ut kontaktsskjemaet, så kontakter vi deg så fort vi er ledige.