Nyhet   04 november 2024

”Håll kursen i arbetet med NIS2”

NIS2 direktivet börjar för många organisationer gälla redan 7 november i år. Junglemaps CISO Geir Aasen ger fyra tips på hur en organisation bör tänka för att både leva upp till direktivet och att göra saker i rätt ordning.

NIS2
Informationssäkerhet
”Håll kursen i arbetet med NIS2”

Geir Aasen, CISO Junglemap

Enligt EU:s så kallade genomförandeförordning gäller NIS2 direktivet redan från den 7/11 2024. Så även om den nya cybersäkerhetslagen inte kommer att vara på plats förrän augusti 2025, finns det ingen anledning att pausa företagets arbete med cybersäkerhet. 

Det är fem typer av organisationer som NIS2 direktivet gäller för redan nu. Det är leverantörer av DNS-tjänster, registreringsenheter för toppdomäner, leverantörer av molntjänster, leverantörer av marknadsplatser online och leverantörer av sökmotorer. Hur definitionen av dessa leverantörer ser ut finns att läsa i NIS2-direktivet. 

Geir Aasen menar dock att alla organisationer som på ett eller annat sätt berörs av NIS2 gör klokt i att tänka så här: 

1. Fortsätt enligt plan

Alla samhällsviktiga och samhällskritiska organisationer borde redan vara en bra bit på väg med att uppgradera sitt säkerhetsarbete i enlighet med NIS2. Det viktiga är att ”hålla kursen” och att fortsätta med det arbete man redan har planerat. 

2. Omvärldsbevaka

NIS2 är något av ett paradigmskifte när det gäller synen på cybersäkerhet. Det ställer mycket högre krav på ledningens förståelse och ansvar. Därför blir omvärldsbevakningen ännu viktigare. Håll koll på vad som händer, både på EU- och nationell nivå kring NIS2 och  annan vägledning för “best practice”. 

3. Se direktivet som en guide

NIS2 direktivet ställer högre krav på riskhantering och incidentrapportering. Men vad är egentligen en kritisk incident? Här ger genomförandeförordningen bra vägledning och definitioner på vad som räknas som kritiska incidenter i olika sektorer.  Alla organisationer gör klokt i att ta del av direktivet och därefter göra sin egen analys utifrån den egna verksamheten. 

4. Öka medvetenheten

NIS2 förberedelserna handlar om att organisationens ledning och styrelse måste öka sin medvetenhet om vad som krävs för att uppnå cyberresiliens. Vad är viktigast för att organisationen skall kunna fortsätta fungera? I grunden handlar det om att ställa tre strategiska frågor – i rätt ordning:

- Vad är viktigast att skydda?

- Vad har vi för processer för att säkra våra kritiska system?

- Vad är vår plan om någonting händer?

De organisationer och företag som arbetar med att stärka sin cybersäkerhet och cyberresiliens på det här sättet kommer att på ett systematiskt och strukturerat sätt ha sett till att ha saker på plats när cybersäkerhetslagen och dess förordningar och föreskrifter börjar gälla. Och det utan onödig organisatorisk stress. 
- Visst behöver många organisationer hålla ett högt tempo i sitt arbete, säger Geir Aasen. Men i det här läget är det viktigare att hålla rätt kurs i arbetet än att öka takten. 

Nyhet   04 november 2024