NIS blir NIS2 likt PUL blev GDPR. Vi har varit med om det förr. Ett direktiv uppdateras, re-brandas och viten införs för ökad efterlevnad. Så nu när NIS2 kommer att träda i kraft, vad kan vi lära oss från GDPR:s införande? Jo, en hel del visar det sig.
I den här artikeln skickar vi med tre lärdomar från resan organisationer gjorde inom GDPR (så att vi slipper återupprepa misstagen med NIS2).
#1 Börja med NIS2 i (god) tid
Vi är många som (mentalt?) hade ringat in den 25 maj 2018 i våra kalendrar. Då skulle GDPR börja gälla. Det jobbades frenetiskt mot denna deadline, men framförhållningen var tyvärr för kort.
Att kartlägga organisationens personuppgifter var en av de saker som många tänkte skulle gå fort men som visade sig ta väldigt lång tid. Man kartlade både personuppgifterna i sig, vilka system dessa förvarades i och vilka leverantörer som var involverade i behandlingen. Det visade sig att samtliga kategorier var ganska många till antalet.
Organisationer står nu inför en liknande utmaning med NIS2, där det istället för personuppgifter handlar om information. Man behöver nu kartlägga vilken information organisationen har, vilka system informationen hanteras i och vilka leverantörer man använder sig av.
Om ni har arbetat med informationssäkerhet tidigare behöver detta inte bli ett stort arbete. Då kan ni dra nytta av det arbete ni utfört inom exempelvis informationsklassning och riskanalys. Men är ni nya på ämnet kan arbetet bli omfattande.
Att arbeta med riskanalyser är dessutom bara ett av kraven i NIS2. Man måste uppfylla fler krav och införa fler säkerhetsåtgärder än så. Så avsätt tid för att införa, testa och förbättra era arbetssätt innan direktivet träder i kraft.
#2 Använd er registerförteckning för att säkra leverantörskedjan!
Ett av kraven i NIS2 är att organisationen måste säkra hela sin leverantörskedja. För att säkra leverantörskedjan måste organisationer ha koll på vilka leverantörer och underleverantörer de använder sig av och se till att dessa har rätt säkerhetsnivå. Detta är en viktig fråga att prioritera eftersom det kan finnas en hel del sårbarheter och risker i leverantörsledet.
För de som skapade en ordentlig registerförteckning i enlighet med GDPR och fortsätter att arbeta med den, finns det en bra lista över leverantörer som organisationen har. I så fall behöver ni bara komplettera listan med de leverantörer som inte behandlar personuppgifter åt er.
Dessutom kan ni leta i er lista av PUB-avtal för att hitta era underleverantörer. Om ni har ingått ett PUB-avtal, finns det säkerligen säkerhetsåtgärder som ni helt enkelt kan utvidga. Ett exempel på detta är att utöka avtalet med krav på riskanalyser.
#3 Utbilda organisationen tidigt
När GDPR började gälla drogs många med en organisation som inte hade kompetens inom detta område. Om man hade börjat med att utbilda hade det varit lättare att skapa en förståelse för varför detta ska göras, hur det ska göras och därigenom bli mer effektiva. Vänta därför inte med dina utbildningsinsatser!
Ge de anställda möjligheten att förstå för att därigenom skapa förutsättningar för en effektivare implementering av det nya direktivet i er organisation.
Med NIS2 följer dessutom krav på att ledningen ska utbilda sig i frågan. Det vill säga, det räcker inte längre att tillsätta en ansvarig person som ska driva hela arbetet. Styrelsen har ett större ansvar och behöver därför höja sin egen kompetensnivå genom utbildning
Vill du lära dig mer om NIS2?
I vår NIS2-guide går vi igenom vad den nya NIS2-regleringen innebär, hur ni kan kontrollera er efterlevnad och praktisk vägledning för att vara compliant över tid. Läs mer och ladda ner NIS2-guiden här –>
