Kontakta oss

Så arbetar ett mindre bolag sig igenom NIS2 – steg för steg

NIS2-direktivet innebär nya krav på cybersäkerhet för tusentals svenska företag, även mindre bolag inom kritiska sektorer.

För att arbeta sig igenom NIS2 behöver ett mindre bolag först kartlägga om de omfattas av direktivet, därefter genomföra en riskanalys, implementera tekniska och organisatoriska säkerhetsåtgärder, och slutligen etablera rutiner för incidentrapportering och kontinuerlig uppföljning.

Processen kan verka omfattande, men genom att dela upp arbetet i tydliga steg blir det hanterbart även för organisationer med begränsade resurser.

Kartläggning och gap-analys

Första steget är att fastställa om ert bolag verkligen omfattas av NIS2. Direktivet gäller företag inom kritiska sektorer som energi, transport, hälsa, digital infrastruktur, avfallshantering och livsmedelsproduktion, men även vissa leverantörer till dessa sektorer.

Storleksgränsen ligger vid minst 50 anställda eller en årsomsättning över 10 miljoner euro. Vissa sektorer har dock andra tröskelvärden.

När ni konstaterat att ni omfattas är nästa steg en gap-analys. Börja med att ställa er följande frågor:

  • Har ni en dokumenterad informationssäkerhetspolicy?
  • Finns det rutiner för åtkomststyrning och lösenordshantering?
  • Görs regelbundna säkerhetskopior?
  • Hur hanterar ni uppdateringar av system och programvara?

Använd NIS2-direktivets kravlista som en checklista. Markera var ni har luckor.

En viktig del i kartläggningen är att identifiera era mest kritiska tillgångar och processer. Vilka IT-system är absolut nödvändiga för er verksamhet? Denna inventering blir grunden för den kommande riskanalysen och hjälper er att prioritera rätt.

Implementering av säkerhetsåtgärder

Med gap-analysen klar kan ni börja implementera de åtgärder som krävs. Börja med de grundläggande åtgärderna som ofta ger störst effekt.

Tekniska åtgärder att införa först:

  • Flerfaktorsautentisering för all fjärråtkomst
  • Regelbunden uppdatering av system och programvara
  • Säkerhetskopiering med regelbunden testning av återställning
  • Brandväggar och nätverkssegmentering

Organisatoriskt behöver ni utse en ansvarig person för cybersäkerhet. I ett mindre bolag kan detta vara en befintlig IT-ansvarig som får utökade befogenheter, men det viktiga är att ansvaret är tydligt fördelat.

Ledningen måste också involveras. NIS2 kräver att styrelse och VD tar aktiv del i cybersäkerhetsarbetet och kan hållas personligt ansvariga vid allvarliga brister.

Utbildning är en annan central komponent. All personal behöver grundläggande kunskaper om cybersäkerhet, och särskilt viktig är medvetenheten om nätfiske och social manipulation. Genomför regelbundna utbildningar, gärna med praktiska exempel från er egen bransch.

Dokumentera allt ni gör. NIS2 kräver att ni kan visa upp er riskhantering, era policyer och era rutiner vid en eventuell tillsyn. Skapa enkla, användbara dokument snarare än omfattande manualer som ingen läser.

Incidenthantering och kontinuerlig förbättring

NIS2 innehåller strikta krav på rapportering av säkerhetsincidenter. Ni måste kunna upptäcka, hantera och rapportera incidenter enligt fastställda tidsramar.

Tidsramarna är tydliga:

  • Första anmälan: inom 24 timmar
  • Fullständig rapport: inom 72 timmar

Upprätta en incidenthanteringsplan som beskriver vem som gör vad när något inträffar. Inkludera kontaktuppgifter till nyckelpersoner, externa leverantörer och myndigheter.

Testa planen genom att genomföra övningar minst en gång per år. Dessa övningar behöver inte vara komplicerade – börja med en enkel diskussionsövning kring ett fiktivt scenario.

Cybersäkerhet är inte ett engångsprojekt. Det är en kontinuerlig process.

Etablera rutiner för regelbunden uppföljning: kvartalsvis genomgång av säkerhetsloggar, årlig uppdatering av riskanalysen, och kontinuerlig bevakning av nya hot. Använd erfarenheter från incidenter och övningar för att förbättra er säkerhet.

Slutligen, glöm inte leverantörskedjan. NIS2 kräver att ni hanterar säkerhetsrisker hos era leverantörer. Detta innebär att ställa krav i avtal, göra säkerhetsbedömningar av kritiska leverantörer, och ha alternativa lösningar om en leverantör skulle få problem.

Genom att följa dessa steg metodiskt kan även ett mindre bolag uppfylla NIS2:s krav. Det handlar inte om att bygga perfekt säkerhet från dag ett, utan om att skapa en solid grund och sedan kontinuerligt förbättra er cybersäkerhet.

Redo att stärka er säkerhet och compliance?

Berätta om era compliance-utmaningar eller säkerhetsbehov. Vi återkommer snabbt med en första bedömning och ser hur vi kan hjälpa er uppfylla regulatoriska krav. Tveka inte att höra av er – vi erbjuder kostnadsfri konsultation!

Kontakta oss

Kontor


  • Järntorget 8
    413 04 Göteborg