Så stärker vi säkerheten inför NIS2

Från ord till handling: Så stärker vi säkerheten inför NIS2

Många som arbetar med informationssäkerhetskrav inom NIS2 känner nog igen sig i känslan av viss uppgivenhet. Just nu befinner vi oss i en rörig övergångsfas – nationell lagstiftning dröjer, EU publicerar genomförandeförordningar för vissa sektorer men inte andra, och vi försöker avgöra vilka system som egentligen omfattas.


Fällan: Evig tolkning istället för handling

Ett vanligt problem är att verksamheter fastnar i tolkningar och aldrig kommer igång med det faktiska säkerhetsarbetet. Det är förståeligt – nästa steg är mer utmanande. Det innebär vägval, ledningsbeslut och hantering av olika intressen.

Tolkning och planering kan då bli en bekväm broms. Så länge vi diskuterar på en teoretisk nivå undviker vi obekväma beslut. Det är enklare att säga ”Så kan vi inte göra” än att faktiskt genomföra en lösning som kanske inte är perfekt, men som ändå är ett steg i rätt riktning.


Två råd för att komma igång med NIS2 – utan att fastna

  1. Sätt på skygglapparna och fokusera på säkerhet

Självklart ska vi ha koll på lagen, men vi får inte låta tolkningar hindra framdrift. Låt någon sakkunnig ansvara för analysen av regelverken, medan de som implementerar skyddas från onödiga diskussioner.

I min roll som konsult inom regelefterlevnad hjälper jag organisationer att översätta kraven till något som är ”good enough” för att skapa framdrift. Min erfarenhet är att vi ofta är alltför försiktiga. Börja med faktisk säkerhet och justera detaljerna senare.

  1. Bara gör något

Välj ett område där säkerheten behöver förbättras. Det kan vara:

  • Incidenthantering – Finns en tydlig process? Vet alla sin roll?
  • Leverantörskrav – Hur säkerställer ni att leverantörer uppfyller rätt säkerhetsnivå?
  • Systemägare – Finns en tydlig systemägarroll?

Förmodligen har ni redan styrande dokument på plats. Om inte, använd etablerade ramverk som ISO 27001/27002, MSB:s cybersäkerhetskollen eller NIST CSF. Ta ut de krav som gäller för ert valda område – men överanalysera inte.

Testa i praktiken

Låt oss säga att ni väljer incidenthantering. Börja med att samla relevanta intressenter för en övning:

  1. Boka en tid och håll den. Alla måste inte kunna – de kan skicka ersättare.
  2. Simulera ett scenario. Vad händer om ert viktigaste system blir otillgängligt imorgon?
  3. Rita upp ett enkelt flöde. Vem tar emot första rapporten? Vem avgör om det är en incident? Hur eskaleras det?
  4. Tydliggör roller och ansvar. Sätt ut namn på personer i varje roll.
  5. Dokumentera åtgärder. Se till att alla förstår vad som förväntas.
  6. Sätt en deadline för implementering – och håll den! Perfektion är inte målet.

För att lyckas med detta arbetssätt behövs en person som leder arbetet tydligt genom att hålla fokus, säkerställa att rätt frågor ställs samt genom att undanröja hinder. Viktigt är också att tiden faktiskt styr mer än kvalitén.


Fördelarna med att bara göra

  • Ni åtgärdar brister och förbättrar säkerheten – vilket är syftet med lagen.
  • Ni skapar fungerande arbetsformer och team.
  • Det blir lättare att genomföra framtida förbättringar.
  • Arbetsklimatet förbättras – det är motiverande att få saker gjorda!


Nackdelarna?

När man prioriterar tiden istället för kvalitén högst så kan det såklart ske misstag. Rätt personer kanske inte blev involverade från början?  Någon kanske blir missnöjd eller motsätter sig slutresultatet. Men det är enklare att justera något som redan är i gång än att försöka planera allt perfekt från början.

En strategi kan vara att anlita en extern konsult – någon som kan driva fram arbetet och ta de obekväma besluten utan att de personliga relationerna blir lidande.

 

Börja nu – och gör klart något!

Ja, ni behöver ledningens stöd, men ni behöver inte starta ett jätteprogram. Välj ett avgränsat område och genomför det. Titta inte på alla krav samtidigt – det hjälper ingen.

Att ha en god planering och tidsplan är bra. Men det är inte där vi brister.

Ofta kan mycket göras utan nya system eller extra resurser – om vi bara använder tiden på rätt sätt. Till sist, säkerhet blir inte bättre av att diskuteras – den blir bättre av att göras.

 

Författare: Trema Gillberg

 

Trema blogginlägg