NIS2 "Formålet med NIS2-direktivet er å øke motstandsdyktigheten i nettverks- og informasjonssystemer til både private og offentlige aktører som opererer i relevante sektorer i EU." NIS2 i Norge Les mer om den norske regjeringens uttalelse her. NIS2 virkeområde De 2 kategoriene for enheter som blir påvirket (vesentlige og viktige) underlegges forskjellige tilsynsregimer og påvirkes også av størrelse. De 2 størrelsesgrupper vil få forskjellige bøter/straff dersom reglene brytes. (Unntak - også mindre virksomheter som anses for å ha en nøkkelrolle for samfunnet, økonomien eller en viss sektor, omfattes av NIS2.) NIST Cyber Security Framework Er din virksomhet ikke påvirket av NIS2? Trykk her for info om NIST-CSF - et globalt cybersikkerhets-rammeverk som gjelder alle. NIS2 - påvirker det deg? Betydelig størrelse: 250 ansatte og omsetning over €50 mill. Viktig størrelse: 5-250 ansatte og omsetning over €10 mill. VESENTLIGE Energi Transport Bank Finansmarkeds infrastrukturer Helse Drikkevann Avløpsvann Digital infrastruktur IKT-tjenester Offentlig forvaltning (sentral og regional) Romvirksomhet VIKTIGE Post - og kurertjenester Avfallshåndtering Produksjon og distribusjon av kjemikalier Matproduksjon Produksjon av visse varer (medisinsk utstyr, IKT-utstyr, kjøretøy, elektronikk, maskiner, transportutstyr) Tilbydere av digitale tjenester Forskning NIS2 - ViroSafe har løsningene! Tiltak BESKRIVELSE (med løsninger under) Incident Handling Oppdag, reager på, og rapporter sikkerhetshendelser (f.eks. hacking, phishing). Ha en beredskapsplan - en klar prosess for hvem som gjør hva, og tren ansatte. Bruk gjerne et enkelt "incident response-flow". FieldEffect MXDR Heimdal MXDR WatchGuard MXDR Crisis Management Plan for håndtering av større hendelser, f.eks. ransomware. Definer roller og ansvar, lag en kommunikasjonsplan, og test planen minst én gang i år. FieldEffect MXDR Heimdal MXDR WatchGuard MXDR Vulnerability and Configuration Management Finn og bli kvitt sårbarheter i systemet. Regelmessig opdatering av programvare, sårbarhetsscanninger, og hurtig patching. Minst én scanning pr. kvartal er standard. ConnectSecure Heimdal WatchGuard Access Control Policies Betinget tilgang - Bruk “least privilege” (minst mulig adgang), lag adgangspolicyer, bruk MFA, og fjern adgang for medarbeidere som ikke skal ha det. Augmentt Heimdal PAM Device/Asset Management Oversikt over systemer, enheter og data - Ha en oppdatert liste over IT-enheter (hardware, software, sky-tjenester), og hvem som eier (har ansvar for) dem. FieldEffect MXDR HighGround Cyber Hygiene Practices Gode rutiner rundt datasikkerhet - Sterke passord, MFA, regelmæssige oppdateringer, phishing-opplæring, antivirus og brannmur. ALLE Risk Analysis Identifiser trusler og vurder deres påvirkning. Lag en årlig risikovurdering, f.eks. med en enkel risikomatrix (sansynnlighet × konsekvens). Dokumenter resultater. ALLE + INTERN PROSESS Information Security Policies Overordnede regler for IT-sikkerhet. Skriv en IT-sikkerhetspolicy som beskriver deres krav, roller, og forventninger. Del med medarbeidere. Augmentt ConnectSecure HighGround usecure Risk Management Assessment Policies Systematisk håndtering av risiko. Ha en fast prosess for evaluering, prioritering og redusering av risikofaktorer. Dokumenter beslutninger og ansvar. Augmentt ConnectSecure HighGround Backup Management Sikkerhetskopiering og gjenoppretting - Ta regelmæssige sikkerhetskopier, lokalt eller sikrede i skyen, og test gjenopprettelse regelmessig (f.eks. hver 6. måned). Arcserve CloudAlly MSP360 Supply Chain Security Sikkerhet i leverandørkjede - Ha oversikt over leverandører og deres sikkerhetstilstand, bygg sikkerhetskrav inn i kontrakter, og hold øye med endringer hos tredjepart. ConnectSecure SecurityScorecard Encryption Bruk kryptering til å beskytte data - Krypter sensitive opplysninger både under overførsel (TLS) og i hvile (disk/database-kryptering). Brug moderne standarder (AES-256, TLS 1.2+). StayPrivate WatchGuard MFA / continuous authentication Multifaktor- og kontinuerlig autentisering - Aktivér MFA på alle kritiske systemer, e-post, VPN og SaaS. Overvåk loginmønstre for unormale aktiviteter. Augmentt WatchGuard Security Awareness Training Opplæring og bevisstgjøring av alle i organisasjonen - Kjør regelmessige, tilpassede datasikkerhetskurs og kartlegg kompetansenivå med phishingsimuleringer. KnowBe4 usecure