Er din virksomhet klar for NIS2?
Ansvarsfraskrivelse: Informasjonen i denne nettapplikasjonen er kun ment for informasjonsformål. Både innholdet i applikasjonen og resultatene fra spørreskjemaet er veiledende og basert på oppgitt informasjon og retningslinjene fra NIS2-direktivet av 14. desember 2022.
De er ikke ment å erstatte en profesjonell vurdering.
NIS2-KOMPASSET
Informasjon om din virksomhet
Merk at andre forhold kan påvirke resultatet.
Merk at andre forhold kan påvirke hvorvidt virksomheten direkte eller indirekte omfattes av NIS2. Dette kan eksempelvis være at virksomheten er konsernspiss eller ivaretar sentrale funksjoner i et konsern som omfattes av regelverket, at virksomheten ivaretar særskilt samfunnskritiske/-viktige aktiviteter selv om størrelse eller omsetning er under terskelverdiene, eller at virksomheten har kunder eller samarbeidspartnere som er omfattet av kravene og overfører disse til virksomheten.
NIS2-KOMPASSET
Deltar toppledelsen aktivt i styringen av digital sikkerhet?
Hvorfor spør vi om dette?
Følgende vurderinger kan legges til grunn når du besvarer spørsmålet:
Ja, i stor grad: Ledelsen er aktivt involvert i styringen av digital sikkerhet, og deltar i tillegg til aktivitene under “i noen grad” ved å etterspørre
Nei, ikke i det hele tatt: Ledelsen involverer seg ikke i noen av aktivitetene.
I liten grad: Ledelsen godkjenner sikkerhetsmål og overordnede policyer, men er ikke involvert utover dette.
Toppledelsens involvering i styringen av digital sikkerhet er sentral i NIS2. Dette innebærer at ledelsen aktivt involverer seg i å definere sikkerhetsmål, gjennomføre risikovurderinger av digital sikkerhet, påse at sikkerhetstiltak blir iverksatt og følge opp at sikkerhetstiltakene fungerer etter forutsetningene.
Følgende vurderinger kan legges til grunn når du besvarer spørsmålet:
– Nei, ikke i det hele tatt: Ledelsen involverer seg ikke i noen av aktivitetene.
– I liten grad: Ledelsen godkjenner sikkerhetsmål og overordnede policyer, men er ikke involvert utover dette.
– I noen grad: Ledelsen er involvert i utarbeidelse av sikkerhetsmål og styrende dokumenter og deltar i risikovurderinger og ledelsens gjennomgang. Ledelsen etterspør og mottar rapportering på status innen digital sikkerhet.
– Ja, i stor grad: Ledelsen er aktivt involvert i styringen av digital sikkerhet, og deltar i tillegg til aktivitene under “i noen grad” ved å etterspørre og motta rapportering innen digital sikkerhet, herunder påser at hensiktsmessige sikkerhetstiltak blir iverksatt og fungerer etter forutsetningene.
NIS2-KOMPASSET
Har dere et styringssystem for å følge opp digital sikkerhet?
Hvorfor spør vi om dette?
En virksomhet som har et styringssystem for digital sikkerhet/informasjonssikkerhet er bedre rustet til å innføre, overvåke og etterleve kravene i NIS2 enn en virksomhet som ikke gjør dette på en strukturert måte. Hvis styringssystemet er etablert, og omfatter de samfunnskritiske/-viktige funksjonene, vil dette imøtekomme en vesentlig del av kravene som er definert i NIS2.
Følgende vurderinger kan legges til grunn når du besvarer spørsmålet:
– Nei, ikke i det hele tatt: Virksomheten har ikke etablert et styringssystem for digital sikkerhet/informasjonssikkerhet (ISMS).
– I liten grad: Virksomheten ser til anerkjente rammeverk for informasjonssikkerhet, men har ikke etablert en struktur for å dokumentere policyer, prosesser, prosedyrer og sikkerhetstiltak, inkludert prosesser for læring og forbedring.
– I noen grad: Virksomheten har etablert en struktur for å dokumentere policyer, prosesser, prosedyrer og sikkerhetstiltak i tråd med anerkjente rammeverk for digital sikkerhet/informasjonssikkerhet (ISO/IEC 27001, NIST, CIS, NSMs grunnprinsipper eller lignende), men har ikke fullt ut implementert dette i virksomheten.
– Ja, i stor grad: Virksomheten har innført et styringssystem for digital sikkerhet i tråd med anerkjente standarder, og dette er implementert, forvaltes og følges opp i virksomheten. Alternativt, virksomheten er sertifisert iht. ISO/IEC 27001, og sertifiseringen omfatter de samfunnsviktige/-kritiske tjenestene.
NIS2-KOMPASSET
Gjør dere regelmessige risikovurderinger for å identifisere trusler og sårbarheter knyttet til digital sikkerhet?
Hvorfor spør vi om dette?
Risikovurderinger danner et viktig fundament for å identifisere trusler og sårbarheter knyttet til digital sikkerhet i en virksomhet. Risikovurderingene gjør det mulig å implementere tiltak som reduserer sannsynligheten for at trusler realiseres eller sårbarheter utnyttes, og minimerer konsekvensen dersom de inntreffer. Regelmessig oppdatering av risikovurderinger og innførte sikkerhetstiltak, gjør det mulig for virksomheten å kontinuerlig tilpasse seg nye trusler, sårbarheter og teknologiske endringer.
Følgende vurderinger kan legges til grunn når du besvarer spørsmålet:
– Nei, ikke i det hele tatt: Virksomheten har ikke gjennomført risikovurdering av digital sikkerhet.
– I liten grad: Virksomheten har gjennomført risikovurdering av digital sikkerhet tidligere, men denne er ikke revurdert/oppdatert siste år.
– I noen grad: Virksomheten har gjennomført risikovurdering av digital sikkerhet sporadisk, men har ikke fullt ut fulgt opp at tiltak har fungert etter forutsetningene.
– Ja, i stor grad: Virksomheten gjennomfører risikovurderinger av digital sikkerhet og evaluerer effekten av implementerte tiltak minimum årlig, eller oftere dersom det skjer større endringer i virksomheten, i trusselbildet eller i kjente sårbarheter.
NIS2-KOMPASSET
Har dere regelmessig opplæring og bevisstgjøring om digital sikkerhet?
Hvorfor spør vi om dette?
Hensikten med å gjennomføre regelmessig opplæring og bevisstgjøring om digital sikkerhet er å styrke organisasjonens evne til å beskytte seg mot digitale trusler og sikre at alle ansatte har nødvendig kunnskap og ferdigheter for å håndtere sikkerhetsutfordringer. Opplæring fremmer en sunn sikkerhetskultur, reduserer risikoen for sikkerhetsbrudd, øker bevisstheten om organisasjonens sikkerhetspolicyer og prosedyrer og forbedrer ansattes evne til å reagere effektivt på sikkerhetshendelser.
Følgende vurderinger kan legges til grunn når du besvarer spørsmålet:
– Nei, ikke i det hele tatt: Virksomheten har ikke etablert rutiner for regelmessig opplæring og bevisstgjøring om digital sikkerhet.
– I liten grad: Virksomheten har prosedyrer i forbindelse med nyansettelser som omfatter innføring i policy og prosedyrer for digital sikkerhet, men har ikke rutiner utover dette.
– I noen grad: Virksomheten har gjennomført aktiviteter knyttet til opplæring og bevisstgjøring om digital sikkerhet sporadisk (1 – 2 ganger i året).
– Ja, i stor grad: Virksomheten har etablert en prosess for opplæring og bevisstgjøring om digital sikkerhet som innebærer gjennomføring av aktiviteter rettet mot ledelsen og ansatte regelmessig (flere ganger i året, tilpassede aktiviteter for ulike grupper av ansatte).
NIS2-KOMPASSET
Har dere systemer for å vurdere og håndtere risiko knyttet til leverandører?
Hvorfor spør vi om dette?
Tredjepartsrisiko knyttet til digitale tjenestetilbydere som er involvert i leveranse av de viktige/kritiske tjenestene bør styres og følges opp gjennom hele livssyklusen for den aktuelle leverandøren og tjenesten, dvs. fra anskaffelse av den digitale tjenesten, gjennom hele leveranseforløpet og til opphør av leveransen. Krav som stilles til leverandøren og tjenesten kan bl.a. omfatte krav til finansiell stabilitet, etikk, kvalitet og etterlevelse (IDD), informasjonssikkerhet, informasjon om underleverandører, exitmuligheter/enkelhet i bytte av leverandør og tidligere erfaringer.
Følgende vurderinger kan legges til grunn når du besvarer spørsmålet:
– Nei, ikke i det hele tatt: Virksomheten har ikke etablert rutiner for å vurdere risiko knyttet til leverandører og tjenester med hensyn til digital sikkerhet ved anskaffelse, underveis i leveransen eller ved avslutning av leveransen.
– I liten grad: Virksomheten har rutiner for å stille krav vedrørende digital sikkerhet til leverandører og tjenester i anskaffelsesprosessen, men har ikke etablert rutiner for periodisk oppfølging eller exitstrategi.
– I noen grad: Virksomheten har etablert rutiner for å stille krav vedrørende digital sikkerhet til leverandører og tjenester i anskaffelsesprosessen, og følger også opp oppfyllelse av kravene underveis i leveranseperioden. Krav knyttet til exitstrategi og -muligheter er ikke definert.
– Ja, i stor grad: Virksomheten har etablert rutiner for å stille krav vedrørende digital sikkerhet til leverandører og tjenester i anskaffelsesprosessen, og følger også opp oppfyllelse av kravene regelmessig underveis i leveranseperioden. Risiko knyttet til leverandører og tjenester oppdateres periodisk og nye tiltak utformes. Virksomheten har utarbeidet exitstrategi og -prosedyrer for rask overgang til alternative leverandører ved behov.
NIS2-KOMPASSET
Sikrer dere at programvare og systemer holdes oppdatert?
Hvorfor spør vi om dette?
Et viktig tiltak som trekkes frem av NSM (Nasjonal Sikkerhetsmyndighet) og andre sikkerhetsmiljøer er å oppdatere programvare og systemer med nyeste sikkerhetsoppdateringer fortløpende. Dette for å redusere risikoen for at kjente sårbarheter blir utnyttet ved et digitalt angrep. Mange av de store sikkerhetshendelsene de siste årene skyldes utnyttelse av sårbarheter ved mangelfull oppdatering.
Følgende vurderinger kan legges til grunn når du besvarer spørsmålet:
– Nei, ikke i det hele tatt: Virksomheten har ikke etablert egne rutiner for å innføre sikkerhetsoppdateringer etter hvert som disse slippes.
– I liten grad: Virksomheten har ikke etablert egne rutiner for å innføre sikkerhetsoppdateringer etter hvert som disse slippes, men antar at dette blir ivaretatt av leverandører av de digitale tjenestene iht. avtale.
– I noen grad: Virksomheten har etablert rutiner for å innføre sikkerhetsoppdateringer på bestemte vedlikeholdstidspunkt i måneden, enten i egen regi eller ved at dette blir ivaretatt av leverandører av de digitale tjenestene.
– Ja, i stor grad: Virksomheten har etablert rutiner for å innføre sikkerhetsoppdateringer umiddelbart etter at de slippes, enten i egen regi eller ved at dette blir ivaretatt av leverandører av de digitale tjenestene. Virksomheten følger opp at dette blir gjort løpende.
NIS2-KOMPASSET
Har dere sikre løsninger for innlogging og styring av brukerrettigheter?
Hvorfor spør vi om dette?
Sikker autentisering og tilgangsstyring er grunnleggende sikkerhetstiltak for å beskytte virksomhetens systemer og data mot uautorisert tilgang. NIS2-direktivet stiller krav til bruk av sterke autentiseringsløsninger, som flerfaktorautentisering (MFA), samt at virksomheten har rutiner for håndtering av brukerrettigheter. Disse rutinene bør følge beste praksis, og inkludere prinsipper som minste privilegium, rollebasert tilgang, arbeidsdeling, samt regelmessige revisjoner av tilganger.
Følgende vurderinger kan legges til grunn når du besvarer spørsmålet:
– Nei, ikke i det hele tatt: Virksomheten har ikke etablert sikre innloggingsløsninger eller rutiner for tilgangsstyring.
– I liten grad: Virksomheten har enkelte sikkerhetstiltak, men benytter for eksempel ikke flerfaktorautentisering, og har ikke dokumenterte retningslinjer for tildeling og oppfølging av brukerrettigheter.
– I noen grad: Virksomheten benytter flerfaktorautentisering og har etablerte rutiner for styring av brukerrettigheter, men uten automatiserte prosesser eller regelmessig revisjon av tilganger.
– Ja, i stor grad: Virksomheten benytter sterke autentiseringsløsninger som flerfaktorautentisering, følger prinsippet om minst privilegium, og har automatiserte prosesser for tilgangsstyring. Det gjennomføres jevnlige revisjoner for å sikre at brukerrettigheter er oppdaterte og nødvendige.
NIS2-KOMPASSET
Har dere rutiner for å håndtere og gjenopprette etter IT-angrep eller systemfeil?
Hvorfor spør vi om dette?
For å redusere konsekvensene av IT-angrep og systemfeil er det viktig å ha etablerte rutiner for både håndtering og gjenoppretting. NIS2-direktivet stiller krav om at virksomheter skal ha en strukturert tilnærming til hendelseshåndtering, inkludert tiltak for å begrense skade, sikkerhetskopieringsstrategier og prosedyrer for rask gjenoppretting. Dette bidrar til å opprettholde driften og beskytte virksomhetens data.
Følgende vurderinger kan legges til grunn når du besvarer spørsmålet:
– Nei, ikke i det hele tatt: Det finnes ingen etablerte rutiner for å håndtere eller gjenopprette etter IT-angrep eller systemfeil.
– I liten grad: Det finnes enkelte tiltak for utvalgte systemer, men virksomheten har ingen dokumenterte rutiner for håndtering eller gjenoppretting. Håndtering og gjenoppretting skjer på en ad-hoc basis, og nøkkelressurser kobles på etter behov.
– I noen grad: Virksomheten har dokumenterte rutiner for håndtering og gjenoppretting, inkludert sikkerhetskopiering, men mangler en helhetlig tilnærming, tydelig ansvarsfordeling eller systematisk oppfølging.
– Ja, i stor grad: Virksomheten har formelle og oppdaterte back-up og beredskapsplaner med klare prosedyrer for både håndtering og gjenoppretting etter IT-angrep og systemfeil. Planene er godt forankret i organisasjonen, følges konsekvent, og revideres regelmessig.
NIS2-KOMPASSET
Har dere øvelser for å teste motstandsdyktighet og evne til gjenoppretting etter sikkerhetshendelser?
Hvorfor spør vi om dette?
For å sikre at virksomheten er forberedt på IT-angrep og systemfeil, er det viktig å gjennomføre øvelser som tester både motstandsdyktighet og evne til gjenoppretting. Slike øvelser gjør det mulig å identifisere svakheter i eksisterende prosesser og bidra til forbedret håndtering ved reelle hendelser. Ved å regelmessig teste beredskaps- og gjenopprettingsplaner, styrkes organisasjonens evne til raskt å gjenopprette normal drift etter alvorlige hendelser.
Følgende vurderinger kan legges til grunn når du besvarer spørsmålet:
– Nei, ikke i det hele tatt: Det gjennomføres ingen øvelser for å teste motstandsdyktighet eller gjenoppretting.
– I liten grad: Øvelser gjennomføres sjeldent. Øvelsene er ikke en del av en fast plan og gjennomføres etter behov, uten regelmessig oppfølging.
– I noen grad: Øvelser gjennomføres av og til, men disse tester enkeltstående prosesser, systemer eller team, og har ikke en helhetlig tilnærming. Det er heller ingen systematisk oppdatering av beredskapsplanene etter øvelsene.
– Ja, i stor grad: Virksomheten gjennomfører regelmessige strukturerte øvelser som simulerer realistiske hendelser. Øvelsene omfatter en helhetlig tilnærming der alle relevante ressurser og team er involvert, og flere sentrale virksomhetsprosesser testes. Resultatene benyttes aktivt til å forbedre og oppdatere beredskapsplanene og organisasjonens evne til å håndtere fremtidige hendelser.
NIS2-KOMPASSET
Har dere systemer og prosedyrer for rapportering etter IT-angrep eller systemfeil til relevante parter?
Hvorfor spør vi om dette?
En klar prosedyre for rapportering av IT-angrep og systemfeil gjør det mulig for virksomheten å dokumentere hendelser, varsle relevante parter og iverksette nødvendige tiltak raskt. NIS2-direktivet stiller krav til at virksomheter rapporterer alvorlige drift- og sikkerhetshendelser til myndigheter, samarbeidspartnere og andre berørte parter innen gitte frister. En velfungerende rapporteringsprosess bidrar ikke bare til etterlevelse av lovverket, men fremmer også læring og kontinuerlig forbedring av virksomhetens sikkerhetstiltak.
Følgende vurderinger kan legges til grunn når du besvarer spørsmålet:
– Nei, ikke i det hele tatt: Virksomheten har ingen systemer eller prosedyrer for rapportering av IT-angrep eller systemfeil.
– I liten grad: Det finnes noen uformelle rutiner for rapportering, men de er ikke klart definerte og dokumentert.
– I noen grad: Virksomheten har etablerte prosedyrer for rapportering, men disse er ikke alltid kjent, følges ikke konsekvent eller dekker ikke alle relevante parter.
– Ja, i stor grad: Virksomheten har tydelige og innarbeidede systemer og prosedyrer for rapportering til myndigheter, samarbeidspartnere og andre relevante parter. Rapporteringen skjer i henhold til gjeldende regelverk, og prosessene evalueres jevnlig.
NIS2-KOMPASSET
Foreløpig resultat
Vurderingen er basert på de svarene du har angitt på spørsmålene foran. Dere har nå tatt første steget og er på god vei for å sikre digitale verdier iht. gjeldene lovverk og reguleringer.
NIS2-KOMPASSET
Anbefalte tiltak
Vi vil anbefale at dere iverksetter følgende tiltak for å starte reisen mot etterlevelse av NIS2:
NIS2-KOMPASSET
Klar for neste steg? Vi hjelper deg gjerne!
Få en uforpliktende gjennomgang av dine resultater og snakk med våre eksperter om hvordan din virksomhet bør gå frem.
Kristine Hageselle Engh
Kristine er Senior Manager i BDO Risk Advisory Services og bistår virksomheter med styring av aktiviteter for å sikre virksomhetens verdier.
Siv Irene Aasen
Siv er partner i Risk Advisory Services og leder IT-risikotjenestene i BDO Consulting. Hun har jobbet med IT-relaterte tjenester i 25 år.