Sikkert nok? Blogg om informasjonssikkerhet

Hvordan vil NIS2 påvirke en ansvarlig for informasjonssikkerheten?

[fa icon="calendar"] 11. juli 2023 / av Neupart

NIS2 vil ha praktisk betydning for deg som informasjonssikkerhetsansvarlig, ettersom kravene i direktivet er rettet mot ledelsen og administrasjonen av informasjonssikkerhet.

Hvis du trenger mer informasjon om NIS2, klikk her for å få en oversikt over grunnleggende informasjon.

Det bør nevnes at vi ser på NIS2 som en mulighet til å øke ledelsens engasjement og styrke fokuset på hele informasjonssikkerhetsarbeidet.

Hvis dere allerede har et ISMS eller et GRC-verktøy basert på ISO 27001, har dere kommet langt. Dokumentert samsvar med ISO 27001 og -2, med noen tillegg, vil sannsynligvis være tilstrekkelig for å oppfylle kravene i NIS2-direktivet.

Vi anbefaler imidlertid at du tar en ekstra titt på følgende to områder:

  1. Utvikling av styringsprosesser, inkludert avklaring av roller og ansvar
    ISO 27001 inneholder krav til ledelsens engasjement og støtte til informasjonssikkerhetsarbeidet. Tilsvarende er det krav til opplæring av ansatte og til å delegere roller og ansvar knyttet til sikkerhetsarbeidet. Selv om dere allerede har etablert disse områdene, er det verdt å vurdere om det er behov for en omorganisering, ytterligere allokering og beskrivelser av ansvar, eller om det er nye emner som de ansatte må trenes i.

  2. Avklaring og tilpasning av kontrolltiltak
    Som nevnt tidligere, dersom dere har implementert et ISMS- eller GRC-verktøy basert på ISO 27001 og har implementert kontrolltiltakene i Annex A/ISO 27002, er dere allerede godt forberedt. Det kan likevel være områder der det er behov for en avklaring omkring NIS2. Dersom dere har et ISMS-verktøy der ISO-kontrolltiltakene er mappet til NIS2, behøver man ikke duplisere dette arbeidet. Hvis dere ikke har et slikt verktøy, kan du bruke tabellen nedenfor, som gir en oversikt over hovedområdene i NIS2,  sammenlignet med ISO 27001.

Disse områdene blir nærmere nedenfor.

NIS2-områder

Kontrolltiltak
ISO 27001:2013

Kontrolltiltak
ISO 27001:2022 

Risikohåndtering

ISO 27001 6.1, 8.1

ISO 27001 6.1, 6.2 8.1

Hendelseshåndtering 1) 

ISO 27001 7.3

ISO2700 A16

ISO27002

5.24
5.25
5.26

5.27

&.8

Sikkerhet i nettverk og informasjonssikkerhet under anskaffelse og utvikling av systemer

ISO27001
A14.1.1
A14.1.3
A14.2.1
A15.2.5
A14.2.8
A14.2.9

ISO 27001
A5.8
A8.8
A8.26
A8.27
A8.29
A8.30
A8.31

A8.32

Beredskap

ISO 27001
A12
A17

ISO27002
5.37
8.7
8.13

8.15

Personellsikkerhet

ISO 27001 A7

5.9-5.11,
5.15 

6,1- 6.8

Aktiva

ISO 27001 A8

5.9-5.11,

Nettverkssikkerhet

ISO 27001 A13

8.8
8.20-22
8.25-8.34



Adgangskontrollsikkerhet

ISO 27001 A9

ISO27002
5.5,
5.14

5.17

5.29
5.30
8.5

Kryptografi

ISO 27001 A10

ISO27002
8.24

Leverandørstyring

ISO 27001 8.1

ISO 17001 A15

5.19
5.23

Samsvar 

ISO 27001 9.3

ISO 27001 A18.2

ISO 27001 9.3
ISO 27002
5.35
5.36
8.8

 

Når kontrollene er gjennomgått, vil det naturligvis være en prosess der de må testes for å fastslå deres faktiske effektivitet. Dette kan gjøres i forbindelse med en kommende internrevisjon, der man tar hensyn til råd og retningslinjer (forhåpentligvis) gitt av de utpekte tilsynsmyndighetene på det tidspunktet.

Forskjellen mellom ISO 27002 og NIS2

De NIS2-områdene som er vist i tabellen ovenfor, beskriver flere spesifikke minimumskrav for arbeid med informasjonssikkerhet. Disse finnes hovedsakelig i §21 og §23 i direktivets tekst. Som nevnt, er det en betydelig overlapp med ISO 27001 og ISO 27002, men på noen områder kan det være nødvendig å klargjøre eller utvide informasjonssikkerheten.

  1. Risikostyring
    I henhold til NIS2 må det gjennomføres systematiske og periodiske risikovurderinger for sårbarheten til aktiva mot cyberhendelser. Vurderingene forventes å følge de samme kravene som i ISO 27002.

    NIS2 legger vekt på et fokus på cybersikkerhet fra et samfunnsmessig perspektiv, men metodene og prosessene vil være kjent for selskaper som har jobbet systematisk med risikoanalyse i forbindelse med ISO 27002.

  2. Håndtering av hendelser
    Det legges spesiell vekt på håndtering av sikkerhetshendelser, og i motsetning til ISO 27002 vil det være spesifikke krav til en formalisert og dokumentert prosess for dette. Det vil være konkrete krav angående hvordan hendelser skal rapporteres, til hvem og innenfor hvilket tidsrom. Hvis du er kjent med GDPR, vil dette være gjenkjennelig, da GDPR også inneholder spesifikke krav til rapportering til tilsynsmyndighetene (Datatilsynet) og varsling av registrerte personer. Det forventes også krav om ytterligere rotårsaksanalyse av hendelser.

  3. Nettverkssikkerhet og informasjonssikkerhet ved anskaffelse og utvikling av systemer
    Beskyttelse av nettverk er en av de viktigste elementene her. Fokuset ligger på å etablere en kombinasjon av tekniske, administrative og organisatoriske kontroller for å effektivt håndtere interne og eksterne risikoer.

  4. Planlegging av beredskap i virksomheten
    Forretningskontinuitet i virksomheten og katastrofegjenoppretting vil bli vektlagt i håndteringen av cybersikkerhetshendelser. Du må kunne vise at det finnes prosesser for å håndtere cybersikkerhetshendelser som kan forstyrre eller helt avbryte kritiske forretningsprosesser.

  5. Sikkerhet i forsyningskjeden
    Sikkerhet i forsyningskjeden vil sannsynligvis få betydelig oppmerksomhet. Informasjonssikkerhet må vurderes gjennom hele forsyningskjeden, og trusler som potensielt kan spre seg gjennom forsyningskjeden må identifiseres og håndteres.

  6. Sikkerhet ved anskaffelse og utvikling
    Sikkerhet ved anskaffelse og utvikling av systemer sikrer at nye systemer vurderes og klassifiseres basert på deres betydning, og at kontrolltiltakene samsvarer med risikoen forbundet med relevante cybersikkerhetstrusler.

  7. Policyer og retningslinjer
    Policyer og tilhørende retningslinjer sikrer at sikkerhetsprosesser fungerer som tiltenkt. Dette innebærer at godkjenning av policyer, Statement of Applicability (SoA) og ledelsens gjennomgang av informasjonssikkerheten dokumenteres. Underliggende dokumentasjon kan variere avhengig av bransje og risikoprofil, men det er en administrativ oppgave som må håndteres.

  8. Bruk av kryptering
    Det er også fokus på spesifikke kontrolltiltak som beslutningstaking og styring av krypteringsteknologi, samt bruk av kryptering. Hvis ISO 27002 overholdes, vil virksomheten sannsynligvis oppfylle kravene i direktivet innen dette spesifikke kontrollområdet.

Konklusjon

For å konkludere, så har NIS2-direktivet praktisk betydning for informasjonssikkerhetsansvarlige, da det direkte angår administrasjonen av informasjonssikkerheten.

Ved å forstå likheter og forskjeller mellom NIS2 og ISO 27001 og -2 kan organisasjoner dra nytte av eksisterende ISMS- eller GRC-verktøy for å oppfylle direktivet.

Det er imidlertid viktig å være oppmerksom på områder som ledelsens engasjement i informasjonssikkerheten og kontrolltiltak som kan kreve klargjøring eller justering.

Trenger du hjelp med NIS2-samsvar?

Selv om det fortsatt er usikkerhet rundt hvordan NIS2-direktivet vil bli implementert i lovgivningen, er det klart at hvis dere har en god forståelse av ISO 27001 og -2, er dere kommet langt på vei.

Vår GRC-verktøy hjelper bedrifter og organisasjoner med å få kontroll og oversikt over deres samsvar med standarder og direktiver som ISO 27001, ISO 27002, NIS2, GDPR, osv. Med alle nødvendige maler for årlige oppgaver, kontroller, dokumenter, trusselkataloger, risiko- og hendelseshåndtering, Statement of Applicability (SoA) og mer, kan du raskt vurdere hvor langt dere har kommet og få hjelp med det som mangler.

Med vår compliance verktøy kan du håndtere samsvar på ett sted. Du trenger ikke separate verktøy for ISO 27001, NIS2, GDPR, osv., da sikkerhetstiltak implementert på ett sted ofte bidrar til overholdelse av flere sikkerhetsstandarder. Hvis du ønsker å lese mer og prøve det selv – helt gratis og uten forpliktelser, kan du klikke her og fylle ut skjemaet.

Hvis du er interessert, kan du hoppe over noen trinn og bestille et møte med vår area manager her.

Emner: ISO 27001, informasjonssikkerhet, ISO 27002, CISO, NIS2

Sikkert nok?

NorthGRC blogg er gode råd og kunnskap om effektiv IT-sikkerhet, IT-sikkerhetsstrategier, risikostyring, etterlevelse av standarder og andre krav, beredskapsplanlegging, ISO2700x, EU personvern, PCI DSS, etc.

Populære innlegg