Hvordan kan din bedrift oppfylle kravene i NIS2?

Tja, det kommer an på om virksomheten defineres som leverandør av samfunnskritiske eller digitale tjenester og størrelsen på selskapet. Om du er leverandør inn mot virksomheter som leverer slike tjenester kan du også bli omfattet av direktivet, indirekte.

Noen av tiltakene man vil måtte gjennomføre om man må forholde seg til direktivet er:

- Etablere et styringssystem for digital sikkerhet

- Risikovurdering og risikohåndtering

- Rapportering av sikkerhetshendelser

- Etablere sikkerhetstiltak for personell, fysiske lokasjoner og IT systemer

- Årlig godkjenning av sikkerhetssystemet

For mange, spesielt mindre virksomheter vil dette bli en stor belastning, og kreve forholdsvis mye ressurser.

The European Union Agency for Cybersecurity (ENISA) har laget en tabell ift flere internasjonale informasjonssikkerhetsstandarder som viser hvordan de samsvarer med de forskjellige kapitlene i NIS 2 forskriften - denne kan lastes ned her . Den viser blant annet hvordan f.eks ISO 27001:2022 er en av flere standarder som kan brukes for å oppfylle kravene. ISO 27001 standarden har en fordel for de som allerede er sertifisert, den følger samme kapittel oppbygging som blant annet 9001 og 14001, noe som forenkler implementeringen.

Det er også laget en Technical Implementation Guidance, denne veiledningen, gjerne sammen med oppbyggingen til en internasjonal standard vil gi deg et godt verktøy til et komplett ledelsessystem for informasjonssikkerhet som er i samsvar med NIS2 direktivet.