NIS2-gátlisti fyrir stjórnendur
Átta atriði sem stjórnandi þarf að hafa í lagi til að fyrirtækið standist NIS2. Listinn er hugsaður sem fyrsta yfirferð: ef þú getur svarað hverju atriði játandi og bent á skjalfestingu ertu í góðri stöðu gagnvart eftirliti og endurskoðun.
Þessi grein er almenn leiðbeining og ekki lögfræðiráðgjöf.
1. Vitið þið hvort tilskipunin gildir um ykkur?
Fyrsta skrefið er formlegt mat: starfar fyrirtækið í geira sem fellur undir NIS2 og er það yfir stærðarmörkunum (að jafnaði fleiri en 50 starfsmenn eða yfir 10 milljónir evra í ársveltu)? Skjalfestið niðurstöðuna, líka ef svarið er nei, því viðskiptavinir og tryggingafélög spyrja. Munið að kröfurnar ná óbeint til birgja fyrirtækja sem falla undir tilskipunina.
2. Er stjórnin með ábyrgðina á hreinu?
NIS2 leggur ábyrgðina á stjórnendur, ekki tölvudeildina. Stjórnin á að samþykkja öryggisráðstafanirnar, hafa eftirlit með framkvæmd þeirra og sitja sjálf þjálfun. Vanræksla getur varðað persónulegri ábyrgð. Gátlistaatriðið: fundargerð þar sem stjórnin samþykkir öryggisstefnuna, og staðfesting á að stjórnarmenn hafi setið þjálfun.
3. Liggur áhættumat fyrir?
Grunnur allra ráðstafana er skjalfest mat á því hvaða kerfi og gögn skipta fyrirtækið mestu máli og hvað ógnar þeim. Það þarf ekki að vera hundrað síður, en það þarf að vera til, vera uppfært reglulega og ráðstafanirnar þurfa að svara því.
4. Eru grunnvarnirnar í lagi?
21. grein tilskipunarinnar telur upp ráðstafanir sem eiga að vera til staðar. Í reynd eru þessar mikilvægastar:
- Fjölþátta auðkenning (MFA) á öllum aðgangi, sérstaklega tölvupósti og stjórnendaaðgangi.
- Afrit sem eru tekin reglulega, geymd aðskilin og prófuð með endurheimt.
- Öryggisuppfærslur settar inn án tafar.
- Aðgangsstýring: hver starfsmaður hefur aðeins þann aðgang sem starfið krefst.
- Dulkóðun gagna í flutningi og hvíld þar sem við á.
5. Hafið þið tök á aðfangakeðjunni?
Fyrirtækið ber ábyrgð á öryggi þjónustunnar sem það kaupir. Gátlistaatriðið: listi yfir helstu birgja og hugbúnaðarþjónustur, mat á öryggi þeirra og öryggiskröfur í samningum við þá sem meðhöndla gögn fyrirtækisins.
6. Er atvikaferlið til og æft?
Alvarleg atvik þarf að tilkynna eftirlitsstjórnvaldi með fyrstu viðvörun innan 24 klukkustunda og ítarlegri tilkynningu innan 72 klukkustunda. Það næst ekki nema ferlið sé til fyrir fram: hver metur atvik, hver tilkynnir, hvert og hvernig. Skjalfest viðbragðsáætlun og að minnsta kosti ein æfing á ári er raunhæft lágmark.
7. Er þjálfun starfsfólks regluleg og skjalfest?
Þjálfun starfsfólks í netöryggi er tilgreind berum orðum í 21. grein. Einskiptisnámskeið uppfyllir ekki kröfuna: þjálfunin á að vera regluleg, ná til alls starfsfólks og skilja eftir sönnun, hver lauk hverju og hvenær. Þetta er sú skylda sem einfaldast er að koma í fullkomið horf strax, og hún skilar mestu í reynd því langflestar árásir beinast að fólki.
8. Getið þið sannað allt ofangreint?
Eftirlit og endurskoðun snýst um sönnunargögn, ekki fyrirheit. Fyrir hvert atriði á listanum á að vera til skjal: matið úr lið 1, fundargerðir stjórnar, áhættumatið, yfirlit yfir varnir, birgjalistinn, viðbragðsáætlunin og þjálfunarskýrslur. Ef sönnunin verður til sjálfkrafa í kerfunum sem þið notið er vinnan nánast engin.
Algengar spurningar
- Hvar á fyrirtæki að byrja fyrir NIS2?
- Á formlegu mati á því hvort tilskipunin gildi um fyrirtækið, síðan á að fá stjórnina að borðinu, koma grunnvörnum í lag (MFA, afrit, uppfærslur) og koma reglulegri, skjalfestri þjálfun starfsfólks í gang.
- Hvað þarf að skjalfesta samkvæmt NIS2?
- Áhættumatið, öryggisráðstafanirnar, samþykki og eftirlit stjórnar, birgjamat, viðbragðsáætlun vegna atvika og þjálfun starfsfólks, hver lauk hverju og hvenær. Eftirlit snýst um sönnunargögn.
- Hverjar eru tilkynningarskyldurnar við öryggisatvik?
- Fyrsta viðvörun til eftirlitsstjórnvalds innan 24 klukkustunda frá því að alvarlegt atvik uppgötvast og ítarlegri tilkynning innan 72 klukkustunda. Það krefst þess að viðbragðsferlið sé skilgreint fyrir fram.
- Þarf stjórnin sjálf að sitja þjálfun?
- Já. Samkvæmt 20. grein NIS2 samþykkir stjórnin öryggisráðstafanir, hefur eftirlit með þeim og situr sjálf þjálfun. Stjórnendur geta borið persónulega ábyrgð á vanrækslu.
Liður 7 tekur þrjár mínútur í uppsetningu
Varhugi sér um reglubundna, skjalfesta öryggisþjálfun starfsfólks: mánaðarleg námskeið á íslensku, sjálfvirk skírteini og endurskoðunarskýrsla á einum smelli.

