- hvordan kan 3stepIT-tjenester bidra til å overholde disse?
NIS2-direktivet er et nytt EU-direktiv som har som mål å styrke cybersikkerheten til kritiske sektorer og essensielle tjenester som energi, transport, helse, bank og digital infrastruktur. Direktivet oppdaterer og erstatter det tidligere NIS-direktivet fra 2016, som var den første EU-dekkende lovgivningen om cybersikkerhet.
NIS2-direktivet innfører nye krav til risikohåndtering, rapportering av hendelser, deling av informasjon og tilsyn. Det inkluderer også strengere straffer for brudd på reglene. I tillegg utvides direktivet til å gjelde flere sektorer og tjenester, samtidig som det blir enklere å avgjøre hvilke virksomheter som skal være omfattet.
NIS2-direktivet må implementeres i nasjonale lover innen 17. oktober 2024, deretter vil det blir tatt i bruk. I hovedsak bør organisasjoner som påvirkes av NIS2 være klare for å overholde det i løpet av høsten 2024. Du kan lese direktivet i sin helhet her.
Hva bør du gjøre nå?
-
Finn ut om du omfattes av direktivet
Direktivets virkeområde gjelder virksomheter som opererer innen kritiske sektorer, inkludert energi, transport, bank, drikkevann og avløp, digital infrastruktur og IKT-Tjenesteledelse, offentlig forvaltning og romfart. I tillegg omfatter direktivet andre kritiske sektorer som post- og budtjenester, avfallshåndtering, kjemisk industri, matproduksjon og distribusjon, produksjon, digitale leverandører (f.eks. markedsplasser) og forskning.
Vær oppmerksom på at selv om virksomheten din ikke er direkte omfattet av direktivet, kan enkelte krav fortsatt være relevante. Dette kan skje hvis virksomheten din er en del av en forsyningskjede som omfatter aktører innenfor direktivets virkeområde. Sikkerhetskravene knyttet til forsyningskjeden kan da påvirke deg, ettersom du må oppfylle kravene som gjelder for dine interessenter og arbeidspartnere.
-
Utfør gapsanalyse
Hvis du er omfattet av direktivet, utfør enten en internanalyse eller bruk ekstern hjelp for å identifisere og adressere potensielle mangler din virksomhet kan ha. Artikkel 21 i direktivet er et godt sted å starte.
-
Tilsyn
Finn ut hvem som er din tilsynsmyndighet og registrer deg for veiledning. Forstå hvordan prosessen for hendelsesrapportering fungerer. Tilsyn kan variere basert på land og bransje.
Hvilke NIS2-krav hjelper 3stepIT med?
Våre tjenester støtter flere av nøkkelsikkerhetskravene i NIS2-direktivet. Nøkkelkrav er først og fremst oppført i artikkel 21. Disse risikostyringstiltakene for nettsikkerhet krever at organisasjoner tar passende og forholdsmessige tekniske, operasjonelle og organisatoriske tiltak for å håndtere sine nettsikkerhetsrisikoer. Her er hvordan vi kan hjelpe:
-
Asset management, tilgangskontrollpolicyer (21.2 i):
NIS2 krever at organisasjoner har formell kapitalforvaltningspraksis på plass. Så nå er et godt tidspunkt å se på hvordan du holder styr på bærbare datamaskiner, mobiltelefoner, annet IT-utstyr. Er de lagret i et dedikert system, regneark eller kanskje ikke sporet konsekvent i det hele tatt? Godt sikkerhetsoppsett krever at organisasjoner forstår hvilke IT-ressurser de har, noe som er vanskelig å oppnå uten et kapitalstyringssystem. Du kan ikke overvåke og beskytte enheter og data som kan nås via disse enhetene hvis du ikke er klar over at du har dem.
Vår Asset Management-løsninger hjelper deg med å oppfylle kravene til kapitalforvaltning av IT-utstyret ditt. Med våre verktøy kan du enkelt spore hvor enhetene dine befinner seg, hvem som bruker dem og hva de koster pr måned. Vi tilbyr støtte gjennom hele livssyklusen til enhetene, inkludert avhending og datasanering. I tillegg gir våre systemer deg fleksible tilgangskontrollpolicyer, slik at du kan bestemme hvilke ressurser og data de ulike brukerne har tilgang til.
-
Støtte for multifaktorautentisering. (21,2 j)
3stepIT Asset Management-plattformer støtter multifaktorautentisering, noe som er viktig for å beskytte systemene dine mot uautorisert tilgang.
-
Sikkerhet i forsyningskjeden (21,2 d)
NIS2 krever at organisasjoner sikrer forsyningskjeden mot sikkerhetstrusler. 3stepIT er ISO27001-sertifisert, noe som i stor grad er like kravene i NIS2-direktivet. Dette gir deg trygghet om at vi møter internasjonale sikkerhetsstandarder. Vi har også et 24/7 sikkerhetsoperasjonssenter og gjennomfører regelmessige sikkerhetstester.
Manglende overholdelse av NIS2 kan føre til store bøter, opptil 10 000 000 EUR eller 2 % av den totale globale årlige omsetningen til foretaket, avhengig av hva som er høyest. Det er derfor viktig å sikre at du og din virksomhet etterlever kravene i direktivet.