NIS2 Art. 21(2)(g)
Grunnleggende cyberhygiene og opplæring
Hva krever direktivet?
NIS2 Artikkel 21(2)(g) krever grunnleggende cyberhygiene-praksis og regelmessig opplæring i cybersikkerhet. Artikkel 20(2) pålegger eksplisitt at ledelsen skal gjennomføre opplæring. Ansatte er ofte det svakeste leddet, og opplæring er et av de mest kostnadseffektive sikkerhetstiltakene.
Hva betyr dette i praksis?
- Gi alle ansatte regelmessig sikkerhetsopplæring som dekker phishing, passordsikkerhet og rapportering av hendelser.
- Sørg for at ledelsen, inkludert styret, gjennomfører opplæring i cybersikkerhet — dette er et eksplisitt NIS2-krav.
- Ha retningslinjer for grunnleggende cyberhygiene: sterke passord, låsing av skjermer, forsiktig håndtering av vedlegg.
- Inkluder informasjonssikkerhet i onboarding-prosessen for nyansatte.
Spørsmål fra egenvurderingen
Her er noen av spørsmålene Fyrvakt bruker for å vurdere denne kategorien:
7.1 Gjennomfører alle ansatte regelmessig opplæring i informasjonssikkerhet?
NIS2 krever eksplisitt at ansatte skal ha opplæring. "Regelmessig" betyr minst årlig, gjerne oftere med korte påminnelser. Opplæringen bør dekke phishing, passordsikkerhet, og rapportering av hendelser.
7.2 Har ledelsen (inkludert styret) gjennomgått opplæring i cybersikkerhet?
NIS2 er eksplisitt på at ledelsen skal ha kompetanse til å forstå og vurdere sikkerhetsrisikoer. Dette er et av de klareste nye kravene og bør tas på alvor.
7.3 Har dere retningslinjer for passord og tilgangshåndtering som ansatte følger?
Grunnleggende cyberhygiene inkluderer sterke, unike passord (gjerne via passordmanager), låsing av skjermer, og forsiktig håndtering av e-postvedlegg. Har dere regler, og følges de?
7.4 Gjennomfører dere phishing-tester eller andre bevissthetskampanjer?
Simulerte phishing-angrep er en effektiv måte å måle og forbedre bevissthet. Det finnes rimelige tjenester tilpasset SMBer. Alternativt kan regelmessige påminnelser og eksempler brukes.