Redo för NIS2? – Lanteros snabbanalys
Publicerad: 8 oktober 2024
De nya reglerna från EU (NIS2) angående säkerhet och beredskap inom samhällskritiska sektorer, kommer direkt eller indirekt att påverka de flesta delarna av samhället. För det enskilda företaget eller organisationen är det viktigt att kunna avgöra om man berörs av reglerna – även om en rimligare fråga nog är hur man berörs av NIS2.
Hur EU-direktivet i detalj ska implementeras i nationell lagstiftning är fortfarande inte klart, men i och med de stora linjerna i direktivet och de intentioner som uttryckts, så börjar det bli ganska klart hur man som företag eller organisation ska förhålla sig till och förbereda sig för den nya lagstiftningen.
För att stötta i den inledande bedömningen hjälper Lantero till med korta översiktliga analyser. I ett 15-minutersmöte går vi igenom om man tydligt och direkt berörs av reglerna, eller om man potentiellt eller indirekt berörs. Målet med mötet är att bättre förstå hur man ska förhålla sig till reglerna, så att man kan ta kontroll över arbetet och allokera resurser dit de gör mest nytta.
Oavsett om man ser NIS2 som en fråga om regelefterlevnad, om den egna säkerheten eller om kommersiella hänsyn kopplat till krav från kunder, så finns det skäl att känna till reglerna och ha en medveten strategi. Att själva ta kontroll över frågan minskar beroendet av externa konsulter och säkerställer att insatser görs i rätt ordning.
Prioriteringarna kan skilja sig avsevärt beroende på om man exempelvis anlägger ett regelefterlevnadsperspektiv snarare än ett säkerhetsperspektiv. Men oavsett perspektiv så behöver man förhålla sig till var man som organisation står i förhållande till olika typer av risker kopplat till nätverks- och informationssystem. Och oavsett prioriteringar behöver man ställa sig frågor kring allt ifrån strategier och driftskontinuitet, till kryptografi, personalsäkerhet eller incidenthantering.
Även den organisation som har en hög säkerhetsmedvetenhet har skäl att följa upp helheten och i vilken mån man arbetar i enlighet med best practice eller har gjort medvetna val efter de faktiska omständigheterna. Det första steget är att veta på vilket sätt man berörs av reglerna.