Compliance • Artikel
29 mars, 2021
Del 4: Fem säkerhetsåtgärder för efterlevnad av NIS-direktivet
För att kunna möta NIS-direktivets krav och skapa bra förutsättningar för efterlevnad måste alla organisationer som omfattas av lagen ägna sig åt konsekvent och riskbaserat IT-säkerhetsarbete. I praktiken innebär det en rad olika säkerhetsåtgärder som alla berörda organisationer bör vidta.
I augusti 2018 trädde det europeiska NIS-direktivet igenom, en gemensam uppsättning regler kring cybersäkerhet. Den nya lagen syftar till uppnå att hög säkerhetsnivå i samhällskritiska nätverk och informationssystem och omfattar såväl privata som offentliga aktörer.
Nedan följer fem åtgärder som hjälper din organisation att både höjer den allmänna säkerhetsnivån och lättare efterleva lagen:
1. Inventering av system, integrationer och data
För att kunna avgöra vilka processer din organisation måste genomgå behöver du först och främst vara medveten om vilka system, integrationer och data din IT-miljö innehåller. Genom att göra en kartläggning av dessa kan du få en överskådlig blick av din IT-miljö som lägger grunden för ditt fortsatta arbete med att göra en riskanalys. Kartläggningen är även viktig för att kunna bedöma incidentens omfattning utifrån de kriterier som ställs, till exempel antal drabbade användare, system och geografiska områden.
2. Riskanalyser
Det finns många skäl till varför företag eller organisationer borde genomföra riskanalyser på regelbunden basis, men de företag som omfattas av NIS-direktivet är skyldiga att göra det. Målet med riskanalysen är att identifiera specifika sårbarheter som verksamheten kan tänkas ha samt vilka hot och risker som verksamheten står inför. Analysen, som ska dokumenteras och uppdateras årligen, ska även innehålla en åtgärdsplan.
Ett effektivt sätt att bedöma risker är att testa sina digitala och fysiska miljöer med hjälp av så kallade pentester (penetrationstester). Genom att låta ett team av experter penetrationstesta dina system och/eller fysiska anläggningar kan du identifiera säkerhetsbrister innan någon obehörig gör det och därmed minska incidentrisken. Riskanalysen lägger även grunden för vilka senare säkerhetsåtgärder din organisation behöver vidta.
3. Incidenthantering
NIS-direktivet ställer uttalade krav på att alla organisationer som omfattas ska ha en väl genomarbetad incidenthanteringsplan med tydliga incident- och rapporteringsrutiner. Den bör bland annat innefatta hur en incident bedöms och klassificeras, hur den ska hanteras och vidare rapporteras. Personalen bör också utbildas så de vet exakt hur de ska agera vid tecken på en incident.
4. Nätverksövervakning
För att kunna hantera och rapportera incidenter måste du först och främst ha förmågan att upptäcka dem. Genom övervakning av trafik och beteendemönster i verksamhetskritiska nät och systemloggar kan man snabbt identifiera avvikelser och i bästa fall hinna åtgärda dem redan innan de hinner klassas som incidenter. För att underlätta arbetet finns managerade tjänster som sköter övervakningen av dina nätverk dygnet runt.
5. Internationella standarder
Genom att använda internationella standarder och ramverk som innefattar flera av ovanstående aktiviteter och processer kan du på ett effektivt säkerställa att stora delar av din IT-miljö är rustade för NIS-direktivet. Ett av de accepterade internationella ramverken är ISO 27000 som bland annat innefattar kartläggning, riskanalys, kontinuitetshantering och leveranshantering. Blir du ISO-compliant täcker du med andra ord in flera av kraven NIS-direktivet ställer på din verksamhet.
Övriga delar i vår artikelserie om NIS-direktivet
Kontakta oss
Vi erbjuder flera kontaktvägar och återkopplar så snart som möjligt. Har du känslig information ber vi dig att maila krypterat.
08-545 333 00
Vi svarar dygnet runtinfo@sentor.se
För generella förfrågningarsoc@sentorsecurity.com
Använd vår PGP-nyckel