3. Åtkomstkontroll och autentisering

• Strikta krav på åtkomstkontroller för att säkerställa att endast behöriga användare har tillgång till nätverk och känsliga system. Detta innebär ofta införande av multi-faktor autentisering (MFA) och starka lösenordspolicys.
• Rollbaserad åtkomst kan också krävas för att begränsa tillgången till nätverksresurser baserat på anställdas roller och ansvar.

Rekommendation: 

• Implementera MFA för alla användare, särskilt för åtkomst till känsliga system och nätverksresurser.
• Least Privilege Access: Säkerställ att användare och system enbart har de rättigheter som krävs för deras arbetsuppgifter.
• Centraliserad autentisering: Använd en central autentiseringstjänst (som LDAP eller Active Directory) för att bättre hantera användarbehörigheter och åtkomstloggar.

4. Kryptering och datasäkerhet

• Kommunikation och dataöverföring inom nätverket måste skyddas med lämpliga krypteringsmetoder, både under överföring och i vila. Detta kan innefatta användning av TLS/SSL för webbkommunikation, VPN för fjärråtkomst och krypterade e-postlösningar.
• Organisationer behöver säkerställa att känsliga data, som personuppgifter och företagshemligheter, är skyddade mot obehörig åtkomst.

Rekommendation:

• Se till att all data krypteras, TLS för web och VPN för fjärranslutningar.
• Certifikat och nyckelhantering: Implementera en strikt process för att hantera och rotera certifikat och krypteringsnycklar.
• Segmentera nätverket: Dela upp nätverket i olika segment för att minska risken för att ett intrång i en del sprider sig till hela systemet. Till exempel, separera interna system från externa tjänster.
• Brandvägg och IPS: Använd brandväggar och intrångsskyddssystem (IPS) för att inspektera och blockera otillåtna eller skadliga trafikflöden mellan nätverkssegmenten.
• Automatisera konfigurationen av nätverket och säkerhetspolicys.

5. Kontinuitetsplanering och redundans

• Organisationer måste utveckla och upprätthålla kontinuitetsplaner och katastrofåterhämtningsplaner för att säkerställa att nätverket kan fortsätta att fungera under och efter en incident. Det innebär ofta att ha redundanta nätverkslösningar och regelbundet testa dessa planer.
• Krav på backuprutiner och att data säkerhetskopieras regelbundet är en del av detta.

Rekommendation:

• Säkerställ att det finns regelbundna och redundanta säkerhetskopior av kritiska data, och att återställningsprocesser är testade och dokumenterade.
• Genomför regelbundna cybersäkerhetsövningar för att öka beredskapen vid en eventuell attack, inklusive tester av återställning.

6. Leverantörskedjan och tredjepartsrisker

• Organisationer måste utvärdera och säkerställa att deras leverantörer och tredje parter som är kopplade till nätverket uppfyller säkerhetskrav enligt NIS2. Detta kan innebära att utföra säkerhetsgranskningar och revisioner av tredjepartssystem som är integrerade i nätverket.
• Organisationer måste ta hänsyn till säkerhetsrisker kopplade till hela leverantörskedjan och säkerställa att dessa risker hanteras.

Rekommendation:

• Implementera processer för att säkerställa att alla tredjepartsleverantörer, inklusive molntjänster och externa leverantörer, uppfyller relevanta säkerhetskrav, genom avtal och regelbundna säkerhetsgranskningar.
• Bedöm säkerhetsrisker i leveranskedjan och se till att tredje parts produkter och tjänster är säkrade, särskilt om de får tillgång till känslig information eller infrastruktur.

7. Sårbarhetsscanning

• NIS2 ställer krav på regelbundna säkerhetsuppdateringar och patchar för att åtgärda kända sårbarheter i nätverksinfrastruktur och mjukvarusystem.
• Organisationer måste implementera procedurer för att snabbt kunna hantera nya säkerhetshot och sårbarheter.

Rekommendation:

Automatisk patchning: Säkerställ att alla system och nätverksenheter (servrar, routrar, brandväggar) regelbundet uppdateras med säkerhetspatchar. Använd automatiska verktyg för patchhantering där det är möjligt och lämpligt

• Sårbarhetsskanning: Genomför kontinuerligt sårbarhetsskanningar för att identifiera och åtgärda potentiella säkerhetsbrister.

8. Utbildning och medvetenhet

• Anställda måste regelbundet få utbildning i cybersäkerhet och nätverkssäkerhet. Det innebär att personal ska kunna känna igen hot som phishing-attacker och förstå hur de ska agera om en incident inträffar.
• Säkerhetsmedvetenheten måste omfatta både teknisk och icke-teknisk personal.

Rekommendation:

• Användarutbildning: Genomför regelbundna utbildningar för alla anställda om cybersäkerhet, med fokus på phishing, säker hantering av lösenord och hur man rapporterar misstänkta incidenter.
• Se till att ledningen är medveten om och engagerad i cybersäkerhetsarbete och att resurser avsätts för att upprätthålla säkerhetskrav.

9. Övervakning och loggning

• Organisationer måste ha övervakningssystem för att spåra och logga nätverkshändelser. Loggning ska ske på ett sätt som gör det möjligt att spåra och analysera incidenter i efterhand, vilket kan kräva specialiserade verktyg för logghantering och säkerhetsinformation (SIEM).
• Loggfiler måste skyddas mot manipulation och behållas under en viss period för att möjliggöra forensiska undersökningar.

Rekommendation: 

• Implementera realtidssövervakning för att snabbt upptäcka ovanliga aktiviteter i nätverket, t.ex. genom SOC och/eller SIEM.
• Loggning och spårbarhet: Säkerställ att alla säkerhetsrelaterade händelser loggas och att loggarna är skyddade och tillgängliga för granskning. Längre tidsperioder för loggförvaring bör beaktas för att uppfylla regulatoriska krav.

10. Tillsyn och revision

• Organisationer måste vara beredda på att genomgå säkerhetsrevisioner av nationella myndigheter för att säkerställa efterlevnad av NIS2-kraven.
• Detta innebär att ha dokumentation och bevis för implementerade säkerhetsåtgärder, riskbedömningar, incidentrapporter och kontinuitetsplaner.

Rekommendation:

• Säkerställ efterlevnad: Utvärdera regelbundet om nätverks- och informationssäkerheten uppfyller NIS2:s krav, och genomför interna och externa revisioner för att säkerställa efterlevnad.
• Dokumentera säkerhetspolicyer: Se till att säkerhetspolicyer, rutiner och processer är dokumenterade och lättillgängliga för alla anställda.