NIS2 Egenvurdering
Kartlegg din virksomhets sikkerhetsstatus mot alle 10 kravområdene i NIS2-direktivet. Få en modenhetsscore med trafikklysindikator for hvert område.
Virksomheten skal ha retningslinjer for risikoanalyse og overordnet informasjonssikkerhet. Dette er grunnlaget for alle andre tiltak — uten risikostyring bygger man i blinde.
Virksomheten skal kunne oppdage, håndtere og rapportere sikkerhetshendelser. NIS2 har strenge krav til varslingsfrister (24 timer for tidlig varsel, 72 timer for full rapport).
Virksomheten skal kunne opprettholde eller raskt gjenopprette kritiske tjenester ved alvorlige hendelser. Inkluderer backup-rutiner, disaster recovery og kriseplaner.
Virksomheten skal vurdere og håndtere sikkerhetsrisiko fra leverandører og samarbeidspartnere. Angrep gjennom leverandørkjeden (supply chain attacks) er blant de mest økende truslene.
Sikkerhet skal ivaretas gjennom hele livssyklusen til IT-systemer — fra innkjøp og utvikling til drift og avvikling. Inkluderer sårbarhetshåndtering.
Virksomheten skal ha prosesser for å evaluere om sikkerhetstiltakene faktisk virker. Det handler om å måle, teste og forbedre — ikke bare "sett og glem."
Ansatte er ofte det svakeste leddet. NIS2 krever grunnleggende cyberhygiene-praksis og regelmessig opplæring for alle, inkludert ledelsen.
Virksomheten skal ha retningslinjer for bruk av kryptografi, inkludert kryptering av data under overføring og lagring der det er hensiktsmessig.
Hvem har tilgang til hva — og er tilgangene hensiktsmessige? Inkluderer personellsikkerhet, tilgangsstyring, og håndtering av virksomhetens verdier.
Bruk av flerfaktor-autentisering (MFA), sikret kommunikasjon, og sikret nødkommunikasjon. Dette er det mest konkrete tekniske kravet i NIS2.