NIS2 vil ha praktisk betydning for deg som informasjonssikkerhetsansvarlig, ettersom kravene i direktivet er rettet mot ledelsen og administrasjonen av informasjonssikkerhet.
Hvis du trenger mer informasjon om NIS2, klikk her for å få en oversikt over grunnleggende informasjon.
Det bør nevnes at vi ser på NIS2 som en mulighet til å øke ledelsens engasjement og styrke fokuset på hele informasjonssikkerhetsarbeidet.
Hvis dere allerede har et ISMS eller et GRC-verktøy basert på ISO 27001, har dere kommet langt. Dokumentert samsvar med ISO 27001 og -2, med noen tillegg, vil sannsynligvis være tilstrekkelig for å oppfylle kravene i NIS2-direktivet.
Vi anbefaler imidlertid at du tar en ekstra titt på følgende to områder:
- Utvikling av styringsprosesser, inkludert avklaring av roller og ansvar
ISO 27001 inneholder krav til ledelsens engasjement og støtte til informasjonssikkerhetsarbeidet. Tilsvarende er det krav til opplæring av ansatte og til å delegere roller og ansvar knyttet til sikkerhetsarbeidet. Selv om dere allerede har etablert disse områdene, er det verdt å vurdere om det er behov for en omorganisering, ytterligere allokering og beskrivelser av ansvar, eller om det er nye emner som de ansatte må trenes i. - Avklaring og tilpasning av kontrolltiltak
Som nevnt tidligere, dersom dere har implementert et ISMS- eller GRC-verktøy basert på ISO 27001 og har implementert kontrolltiltakene i Annex A/ISO 27002, er dere allerede godt forberedt. Det kan likevel være områder der det er behov for en avklaring omkring NIS2. Dersom dere har et ISMS-verktøy der ISO-kontrolltiltakene er mappet til NIS2, behøver man ikke duplisere dette arbeidet. Hvis dere ikke har et slikt verktøy, kan du bruke tabellen nedenfor, som gir en oversikt over hovedområdene i NIS2, sammenlignet med ISO 27001.
Disse områdene blir nærmere nedenfor.
|
NIS2-områder |
Kontrolltiltak |
Kontrolltiltak |
|---|---|---|
|
Risikohåndtering |
ISO 27001 6.1, 8.1 |
ISO 27001 6.1, 6.2 8.1 |
|
Hendelseshåndtering 1) |
ISO 27001 7.3 ISO2700 A16 |
ISO27002 5.24 5.27 &.8 |
|
Sikkerhet i nettverk og informasjonssikkerhet under anskaffelse og utvikling av systemer |
ISO27001 |
ISO 27001 A8.32 |
|
Beredskap |
ISO 27001 |
ISO27002 8.15 |
|
Personellsikkerhet |
ISO 27001 A7 |
5.9-5.11, 6,1- 6.8 |
|
Aktiva |
ISO 27001 A8 |
5.9-5.11, |
|
Nettverkssikkerhet |
ISO 27001 A13 |
8.8 |
|
Adgangskontrollsikkerhet |
ISO 27001 A9 |
ISO27002 5.17 5.29 |
|
Kryptografi |
ISO 27001 A10 |
ISO27002 |
|
Leverandørstyring |
ISO 27001 8.1 ISO 17001 A15 |
5.19 |
|
Samsvar |
ISO 27001 9.3 ISO 27001 A18.2 |
ISO 27001 9.3 |
Når kontrollene er gjennomgått, vil det naturligvis være en prosess der de må testes for å fastslå deres faktiske effektivitet. Dette kan gjøres i forbindelse med en kommende internrevisjon, der man tar hensyn til råd og retningslinjer (forhåpentligvis) gitt av de utpekte tilsynsmyndighetene på det tidspunktet.
Forskjellen mellom ISO 27002 og NIS2
De NIS2-områdene som er vist i tabellen ovenfor, beskriver flere spesifikke minimumskrav for arbeid med informasjonssikkerhet. Disse finnes hovedsakelig i §21 og §23 i direktivets tekst. Som nevnt, er det en betydelig overlapp med ISO 27001 og ISO 27002, men på noen områder kan det være nødvendig å klargjøre eller utvide informasjonssikkerheten.
- Risikostyring
I henhold til NIS2 må det gjennomføres systematiske og periodiske risikovurderinger for sårbarheten til aktiva mot cyberhendelser. Vurderingene forventes å følge de samme kravene som i ISO 27002.
NIS2 legger vekt på et fokus på cybersikkerhet fra et samfunnsmessig perspektiv, men metodene og prosessene vil være kjent for selskaper som har jobbet systematisk med risikoanalyse i forbindelse med ISO 27002. - Håndtering av hendelser
Det legges spesiell vekt på håndtering av sikkerhetshendelser, og i motsetning til ISO 27002 vil det være spesifikke krav til en formalisert og dokumentert prosess for dette. Det vil være konkrete krav angående hvordan hendelser skal rapporteres, til hvem og innenfor hvilket tidsrom. Hvis du er kjent med GDPR, vil dette være gjenkjennelig, da GDPR også inneholder spesifikke krav til rapportering til tilsynsmyndighetene (Datatilsynet) og varsling av registrerte personer. Det forventes også krav om ytterligere rotårsaksanalyse av hendelser. - Nettverkssikkerhet og informasjonssikkerhet ved anskaffelse og utvikling av systemer
Beskyttelse av nettverk er en av de viktigste elementene her. Fokuset ligger på å etablere en kombinasjon av tekniske, administrative og organisatoriske kontroller for å effektivt håndtere interne og eksterne risikoer. - Planlegging av beredskap i virksomheten
Forretningskontinuitet i virksomheten og katastrofegjenoppretting vil bli vektlagt i håndteringen av cybersikkerhetshendelser. Du må kunne vise at det finnes prosesser for å håndtere cybersikkerhetshendelser som kan forstyrre eller helt avbryte kritiske forretningsprosesser. - Sikkerhet i forsyningskjeden
Sikkerhet i forsyningskjeden vil sannsynligvis få betydelig oppmerksomhet. Informasjonssikkerhet må vurderes gjennom hele forsyningskjeden, og trusler som potensielt kan spre seg gjennom forsyningskjeden må identifiseres og håndteres. - Sikkerhet ved anskaffelse og utvikling
Sikkerhet ved anskaffelse og utvikling av systemer sikrer at nye systemer vurderes og klassifiseres basert på deres betydning, og at kontrolltiltakene samsvarer med risikoen forbundet med relevante cybersikkerhetstrusler. - Policyer og retningslinjer
Policyer og tilhørende retningslinjer sikrer at sikkerhetsprosesser fungerer som tiltenkt. Dette innebærer at godkjenning av policyer, Statement of Applicability (SoA) og ledelsens gjennomgang av informasjonssikkerheten dokumenteres. Underliggende dokumentasjon kan variere avhengig av bransje og risikoprofil, men det er en administrativ oppgave som må håndteres. - Bruk av kryptering
Det er også fokus på spesifikke kontrolltiltak som beslutningstaking og styring av krypteringsteknologi, samt bruk av kryptering. Hvis ISO 27002 overholdes, vil virksomheten sannsynligvis oppfylle kravene i direktivet innen dette spesifikke kontrollområdet.
Konklusjon
For å konkludere, så har NIS2-direktivet praktisk betydning for informasjonssikkerhetsansvarlige, da det direkte angår administrasjonen av informasjonssikkerheten.
Ved å forstå likheter og forskjeller mellom NIS2 og ISO 27001 og -2 kan organisasjoner dra nytte av eksisterende ISMS- eller GRC-verktøy for å oppfylle direktivet.
Det er imidlertid viktig å være oppmerksom på områder som ledelsens engasjement i informasjonssikkerheten og kontrolltiltak som kan kreve klargjøring eller justering.
Trenger du hjelp med NIS2-samsvar?
Selv om det fortsatt er usikkerhet rundt hvordan NIS2-direktivet vil bli implementert i lovgivningen, er det klart at hvis dere har en god forståelse av ISO 27001 og -2, er dere kommet langt på vei.
Vår GRC-verktøy hjelper bedrifter og organisasjoner med å få kontroll og oversikt over deres samsvar med standarder og direktiver som ISO 27001, ISO 27002, NIS2, GDPR, osv. Med alle nødvendige maler for årlige oppgaver, kontroller, dokumenter, trusselkataloger, risiko- og hendelseshåndtering, Statement of Applicability (SoA) og mer, kan du raskt vurdere hvor langt dere har kommet og få hjelp med det som mangler.
Med vår compliance verktøy kan du håndtere samsvar på ett sted. Du trenger ikke separate verktøy for ISO 27001, NIS2, GDPR, osv., da sikkerhetstiltak implementert på ett sted ofte bidrar til overholdelse av flere sikkerhetsstandarder. Hvis du ønsker å lese mer og prøve det selv – helt gratis og uten forpliktelser, kan du klikke her og fylle ut skjemaet.
Hvis du er interessert, kan du hoppe over noen trinn og bestille et møte med vår area manager her.
