NIS2 Art. 21(2)(j)
Flerfaktor-autentisering og sikret kommunikasjon
Hva krever direktivet?
NIS2 Artikkel 21(2)(j) krever bruk av flerfaktor-autentisering (MFA) eller løsninger for kontinuerlig autentisering, sikrede kommunikasjonskanaler og sikret nødkommunikasjon der det er hensiktsmessig. MFA er et av de mest effektive tiltakene mot kontokapring og nevnes eksplisitt i direktivet.
Hva betyr dette i praksis?
- Aktiver MFA for alle kritiske systemer: e-post, VPN, admin-kontoer, skyportaler og forretningskritiske systemer.
- Bruk app-basert eller hardware-basert MFA fremfor SMS, som er sårbar for SIM-swapping.
- Bruk sikrede kommunikasjonskanaler for sensitiv intern kommunikasjon — vurder om dagens verktøy er tilstrekkelige.
- Ha en plan for nødkommunikasjon med alternative kontaktmetoder dersom primærkanalene er utilgjengelige.
Spørsmål fra egenvurderingen
Her er noen av spørsmålene Fyrvakt bruker for å vurdere denne kategorien:
10.1 Er flerfaktor-autentisering (MFA) aktivert for tilgang til kritiske systemer?
MFA (f.eks. app-basert engangskode, fysisk sikkerhetsnøkkel) er et av de mest effektive tiltakene mot kontokapring. NIS2 nevner dette eksplisitt. Prioriter: e-post, VPN, admin-kontoer, skyportaler, og forretningskritiske systemer.
10.2 Er MFA aktivert for alle brukere, eller kun utvalgte?
Ideelt sett bør MFA gjelde alle brukere, ikke bare IT-personell. Et kompromittert vanlig brukerkontoer kan være et springbrett for videre angrep.
10.3 Bruker dere sikrede kommunikasjonskanaler for sensitiv intern kommunikasjon?
Sensitiv kommunikasjon (lederbeslutninger, sikkerhetsvarsler, krisehåndtering) bør gå via kanaler med kryptering. Teams, Slack, Signal, etc. — vurder hva som brukes og om det er godt nok.
10.4 Har dere en plan for nødkommunikasjon hvis primære kommunikasjonskanaler er utilgjengelige?
Hva gjør dere hvis e-post er nede og Teams ikke virker? En enkel plan med alternative kontaktmetoder (telefonnumre, kryptert meldingsapp) for nøkkelpersonell kan utgjøre forskjellen i en krise.