Även om lagen främst riktar sig mot större aktörer inom samhällsviktiga och digitala sektorer kommer kraven att påverka hela leverantörskedjan.
Som IT-leverantör, driftpartner eller konsult behöver du kunna visa att du hanterar information och system på ett säkert, kontrollerat och dokumenterat sätt.
Här är tio konkreta åtgärder du kan börja med för att uppfylla NIS2-kraven – direkt eller indirekt via dina kunder.
Kartlägg vilka system, tjänster och leverantörer som är kritiska för både din egen drift och dina kunders leveranser.
Dokumentera risker, sannolikhet, konsekvens och vilka skyddsåtgärder som finns.
Ta fram en tydlig rutin för hur du upptäcker, hanterar och rapporterar incidenter.
Säkerställ att allvarliga incidenter snabbt kan eskaleras till kund, och dokumentera lärdomar efter varje händelse.
Du ska kunna visa hur verksamheten fortsätter även vid avbrott.
Testa backup och återställning regelbundet och se till att kontaktlistor, rutiner och ansvar för krishantering finns dokumenterade.
Om du anlitar egna leverantörer (moln, drift, säkerhet m.m.) – ställ krav på deras säkerhetsarbete.
Ingå alltid NDA och säkerhetsbilagor och undvik underleverantörer utan dokumenterade rutiner.
Om ni utvecklar system eller integrationer – följ secure coding-principer.
Testa sårbarheter innan driftsättning och dokumentera ändringar i versioner och systemloggar.
Genomför årliga interna kontroller eller revisioner.
Verifiera att skydden fungerar – exempelvis patchhantering, loggning, åtkomstkontroller och antivirus.
Mänskliga misstag är fortfarande den vanligaste orsaken till incidenter.
Ge personalen årlig säkerhetsutbildning och påminn om rutiner: lås datorn, använd starka lösenord och rapportera misstänkta e-postmeddelanden.
All känslig data – både i vila och under överföring – ska vara krypterad.
Använd erkända standarder (t.ex. AES-256, TLS 1.2+) och undvik osäkra överföringsmetoder.
Tilldela rättigheter enligt principen ”need to know”.
Inför MFA för alla administratörskonton och stäng användarkonton omedelbart när någon slutar.
Säkerställ att ni kan kommunicera vid driftstörning eller IT-avbrott.
Använd säkrade kanaler eller alternativa kontaktvägar och dokumentera dem i krisplanen.
NIS2 ställer inte bara krav på de stora aktörerna, utan även på deras underleverantörer.
För IT-bolag innebär det att informationssäkerhet behöver bli en del av affären, inte bara ett dokument i hyllan.
På Fortiad har vi specialiserat oss på att hjälpa små och medelstora företag att arbeta strukturerat med informationssäkerhet.
Vi stöttar er i att säkerställa efterlevnad som leverantör till större bolag som omfattas av regelverk som NIS2 och DORA.
De nya lagkraven på samhällsviktiga verksamheter och företag inom den finansiella sektorn innebär att kraven på underleverantörer ökar – både när det gäller informationssäkerhet och styrning.
Vi har redan hjälpt flera företag att möta dessa krav och därmed fortsätta vara relevanta och pålitliga leverantörer till större kunder.
Genom att utgå från våra befintliga policyer, rutiner och tekniska lösningar kan vi arbeta både tids- och kostnadseffektivt, alltid anpassat efter er företagsstorlek och verksamhetens förutsättningar.
This website uses cookies. By continuing to use this site, you accept our use of cookies.