NIS2 Art. 21(2)(h)
Kryptografi og kryptering
Hva krever direktivet?
NIS2 Artikkel 21(2)(h) krever retningslinjer for bruk av kryptografi, inkludert kryptering av data under overføring og lagring der det er hensiktsmessig. Kryptering beskytter data selv om noen får uautorisert tilgang, og er en grunnleggende del av moderne informasjonssikkerhet.
Hva betyr dette i praksis?
- Sørg for at all ekstern kommunikasjon er kryptert — HTTPS for nettsider, VPN for fjerntilgang, TLS for e-post.
- Verifiser at sensitive data er kryptert ved lagring, spesielt i skytjenester og databaser.
- Ha en policy som beskriver når og hvordan kryptering skal brukes i virksomheten.
- Etabler rutiner for håndtering av krypteringsnøkler — hvem har tilgang, og hvordan roteres de?
Spørsmål fra egenvurderingen
Her er noen av spørsmålene Fyrvakt bruker for å vurdere denne kategorien:
8.1 Er data kryptert under overføring (f.eks. HTTPS, VPN, kryptert e-post)?
All kommunikasjon med kunder, partnere og internt bør gå over krypterte kanaler. HTTPS for nettsider, VPN for fjerntilgang, og TLS for e-post er standard forventninger.
8.2 Er sensitive data kryptert ved lagring (at rest)?
Kryptering av lagret data (databaser, filer, backup) beskytter mot datatyveri selv om noen får fysisk tilgang. Mange skytjenester tilbyr dette som standard — men det bør verifiseres.
8.3 Har dere en policy for bruk av kryptografi som beskriver når og hvordan kryptering skal brukes?
En policy trenger ikke være kompleks. Den bør beskrive minimumskrav (f.eks. "all ekstern kommunikasjon skal krypteres") og hvem som har ansvar for å sikre dette.
8.4 Har dere rutiner for håndtering av krypteringsnøkler (key management)?
Kryptering er bare så sterk som nøkkelhåndteringen. Oppbevares nøkler trygt? Hvem har tilgang? Roteres de? For SMBer som bruker skytjenester, håndteres ofte mye av dette av leverandøren — men dere bør forstå ansvarsfordelingen.