Væntanleg NIS2 tilskipun ESB um net- og upplýsingaöryggi hefur vakið mikla athygli og það ekki að ástæðulausu. Hún mun ná til mun fleiri fyrirtækja en NIS gerði, þar á meðal margra lítilla og meðalstórra fyrirtækja. Ef þú ert ekki með sérstakt teymi í netöryggismálum er skiljanlegt að þú spyrjir: Hvað þýðir þetta fyrir mig? Og hvernig tek ég á þessu án þess að festast í flóknum tæknilegum smáatriðum?
Góðu fréttirnar eru þær að NIS2 er í grunninn ekki eins flókin reglugerð og hún kann að virðast. Meginmarkmið hennar er að samræma og styrkja netöryggisvenjur sem flest fyrirtæki ættu hvort eð er að tileinka sér, venjur sem vernda reksturinn hvort sem reglugerðin á við eða ekki. Munurinn er sá að nú þarf að skjalfesta þessar venjur og geta sýnt fram á að þeim sé fylgt.
Þetta á sérstaklega við um litla og meðalstóra aðila (important entities), þar sem kröfurnar eru fyrst og fremst góðir starfshættir + skjölun. Fyrir stærri og viðkvæmari innviðafyrirtæki (essential entities) geta kröfurnar orðið umfangsmeiri og eftirlitið strangara. Meginhugmyndin er samt sú sama: að byggja upp góða starfshætti, styrkja ferla og skjalfesta.
Hvað er NIS2, í stuttu máli?
NIS2 er uppfærsla á eldri NIS tilskipuninni og er ætlað að bæta netöryggi á öllu Evrópska efnahagssvæðinu. Hún:
- víkkar út gildissvið fyrirtækja sem falla undir,
- herðir öryggiskröfur,
- leggur áherslu á öryggi aðfangakeðju,
- einfaldar tilkynningarskyldur,
- og kynnir strangari viðurlög við brotum, þar á meðal mögulegar sektir.
Í grunninn krefst hún þess að fyrirtæki hugsi kerfisbundið um netöryggi og séu tilbúin að bregðast hratt við þegar eitthvað fer úrskeiðis.
Hverja varðar NIS2?
Fleiri lítil og meðalstór fyrirtæki en margir gera sér grein fyrir.
Tilskipunin skiptir fyrirtækjum í tvo flokka:
- Nauðsynlegir aðilar (essential entities): Yfirleitt stærri fyrirtæki í mjög mikilvægum geirum, með strangari kröfur og meira eftirlit.
- Mikilvægir aðilar (important entities): Fjöldi meðalstórra fyrirtækja og stofnana í öðrum mikilvægum geirum. Enn töluverðar kröfur en vægara eftirlit en hjá mikilvægum aðilum.
Jafnvel þótt þú sért óviss um hvort fyrirtækið þitt falli beint undir NIS2, þá eru kröfurnar í raun góðir starfshættir sem styrkja öryggi – óháð reglugerðinni sjálfri. Þetta er því ekki aðeins krafa heldur líka tækifæri til að bæta varnir þínar.
⚠️ Aðfangakeðjan: Ef fyrirtækið þitt er hluti af aðfangakeðju fyrirtækis sem fellur undir NIS2, getur það þýtt auknar kröfur frá viðskiptavinum. Þeir þurfa nefnilega að tryggja að birgjar og þjónustuaðilar standist ákveðin öryggisviðmið og það getur náð til þín, jafnvel þó þú sért ekki formlega innan gildissviðs NIS2.
Lykilkröfur (einfaldað fyrir lítil og meðalstór fyrirtæki)
NIS2 krefst áhættumiðaðrar nálgunar. Í stuttu máli:
- Greina áhættur: Hvaða netógnir geta haft áhrif á þína starfsemi? Hvað er mikilvægast og hvað myndi gerast ef það væri ekki tiltækt eða því yrði stolið?
- Innleiða öryggisráðstafanir:
- Áhættugreiningar og öryggisstefnur
- Viðbragðsáætlanir (t.d. við netárás)
- Rekstrarsamfella (hvernig starfsemi heldur áfram eftir áfall)
- Öryggi aðfangakeðju (mat á þjónustuaðilum og birgjum)
- Grunnvenjur: reglulegar uppfærslur, sterk lykilorð, fjölþáttaauðkenning (MFA), fræðsla fyrir starfsfólk
- Aðgangsstýringar: skýr stefna um hver hefur aðgang að hverju
- Tilkynna atvik: Veruleg öryggisatvik þarf að tilkynna án óþarfa tafar til yfirvalda (og stundum viðskiptavina).
⚠️ Helstu kröfur NIS2 (í stuttu máli):
- Greina og meta áhættur
- Innleiða viðeigandi öryggisráðstafanir
- Setja viðbragðsáætlanir og rekstrarsamfelluáætlanir
- Tryggja öryggi aðfangakeðju
- Koma á aðgangsstýringum og grunnöryggisvenjum (t.d. MFA, uppfærslur, þjálfun)
- Tilkynna veruleg atvik án tafar
Ábyrgð stjórnenda er lykilatriði
NIS2 leggur beina ábyrgð á stjórnendur; framkvæmdastjóra og stjórnarmenn. Þeir verða að samþykkja ráðstafanir í netöryggi og fylgjast með innleiðingu þeirra. Ef fyrirtækið uppfyllir ekki kröfurnar geta stjórnendur verið dregnir til ábyrgðar. Netöryggi er því ekki lengur bara tæknimál sem er hægt að útvista heldur stefnumótandi stjórnendaverkefni.
⚠️ Ábyrgð stjórnenda: NIS2 leggur beina ábyrgð á stjórnendur, framkvæmdastjóra og stjórnarmenn. Þeir þurfa að samþykkja ráðstafanir í netöryggi, hafa eftirlit með innleiðingu þeirra og geta verið dregnir til ábyrgðar ef fyrirtækið uppfyllir ekki kröfurnar. Netöryggi er því ekki lengur eingöngu tæknimál - heldur stefnumótandi ákvörðun.
Hvernig Verjumst einfaldar ferlið
Það getur virst yfirþyrmandi að uppfylla kröfurnar án sérfræðinga innanhúss. Þess vegna var Verjumst hannað: að gera netöryggisstjórnun og NIS2 fylgni aðgengilega fyrir lítil og meðalstór fyrirtæki.
Með Verjumst færðu:
- Leiðbeiningar á mannamáli: Við þýðum tæknilegar kröfur yfir í skýr, framkvæmanleg skref.
- Rammi fyrir áhættumat: Greindu áhættur og sjáðu hvar eyðurnar eru. Auðvelt er að skilgreina eigin áhættuþröskuld.
- Stjórnun öryggisráðstafana: Skráðu og tengdu öryggisráðstafanir við áhættur. Bættu við sönnunargögnum með einföldum hætti.
- Öryggi aðfangakeðju: Skipuleggðu áhættumat á þjónustuaðilum með einföldum hætti og fylgstu með eftirfylgni.
- Yfirsýn stjórnenda: Miðlægt yfirlit sem gefur stjórnendum skýra mynd af stöðu mála.
- Skráningu sönnunargagna: Allar breytingar og samþykktir skráðar sjálfkrafa í óbreytanlegum annál (audit log).
- Viðbragð við atvikum: Atvikaskrá og eftirágreining (post-mortem) sem auðveldar lærdóm og tilkynningar.
- Stjórnun á stefnum og áætlunum: Einfalt að útbúa og prenta viðbragðs- og rekstraráætlanir í notendavænu formi.
NIS2 er tækifæri – ekki ógn
NIS2 snýst ekki aðeins um að forðast sektir. Hún snýst um að byggja upp öflugri og áreiðanlegri fyrirtæki sem eru betur í stakk búin til að mæta stafrænum ógnunum. NIS2 er tækifæri til að styrkja öryggismenningu og innviði.
Taktu fyrsta skrefið í dag
Ekki bíða þar til það er orðið of seint. Byrjaðu á að skilja mögulegar skyldur þínar og meta núverandi stöðu. Þótt NIS2 sé umfangsmikil, þurfa lausnirnar ekki að vera það.