NIS2 Art. 21(2)(f)
Vurdering av sikkerhetstiltakenes effektivitet
Hva krever direktivet?
NIS2 Artikkel 21(2)(f) krever at virksomheten har prosesser for å evaluere om sikkerhetstiltakene faktisk virker. Det er ikke nok å innføre tiltak — dere må sjekke at de fungerer i praksis. Sikkerhetstiltak som aldri evalueres kan gi falsk trygghet.
Hva betyr dette i praksis?
- Gjennomfør regelmessige gjennomganger av sikkerhetstiltakene — minst årlig.
- Definer enkle sikkerhetsmål eller KPI-er, som tid til patching eller andel ansatte med gjennomført opplæring.
- Gjennomfør interne eller eksterne revisjoner av informasjonssikkerheten, tilpasset virksomhetens størrelse.
- Oppdater tiltak basert på nye trusler, hendelser eller endringer i virksomheten.
Spørsmål fra egenvurderingen
Her er noen av spørsmålene Fyrvakt bruker for å vurdere denne kategorien:
6.1 Evaluerer dere regelmessig om sikkerhetstiltakene fungerer som tiltenkt?
Sikkerhetstiltak som ikke testes, kan gi falsk trygghet. Evaluering kan være alt fra årlige gjennomganger og interne revisjoner til automatiserte skanninger. Poenget er å ha en bevisst praksis for å vurdere om det dere gjør faktisk fungerer.
6.2 Har dere definert sikkerhetsmål eller KPI-er som dere følger opp?
Eksempler: tid til patching, andel ansatte som har gjennomført sikkerhetsopplæring, antall hendelser per kvartal. Enkle målinger gir oversikt og viser utvikling over tid.
6.3 Gjennomfører dere interne eller eksterne revisjoner av informasjonssikkerheten?
En revisjon (intern eller ekstern) gir en uavhengig vurdering av sikkerhetspraksis. For SMBer kan dette være en enkel årlig gjennomgang — det trenger ikke være en fullskala ISO-audit.
6.4 Oppdaterer dere sikkerhetstiltak basert på nye trusler, hendelser, eller endringer i virksomheten?
Trusselbildet endrer seg. Det som var godt nok i fjor, er kanskje ikke godt nok nå. Har dere en mekanisme for å fange opp endringer og justere tiltakene?