Inför NIS2 – lärdomar att hämta från GDPR

NIS blir NIS2 likt PUL blev GDPR. Vi har varit med om det förr. Ett direktiv uppdateras, re-brandas och viten införs för ökad efterlevnad. Så nu när NIS2 kommer att träda i kraft, vad kan vi lära oss från GDPR:s införande? Jo, en hel del visar det sig.

I den här artikeln skickar vi med tre lärdomar från resan organisationer gjorde inom GDPR (så att vi slipper återupprepa misstagen med NIS2).

 

#1 Börja med NIS2 i (god) tid

Vi är många som (mentalt?) hade ringat in den 25 maj 2018 i våra kalendrar. Då skulle GDPR börja gälla. Det jobbades frenetiskt mot denna deadline, men framförhållningen var tyvärr för kort.

Att kartlägga organisationens personuppgifter var en av de saker som många tänkte skulle gå fort men som visade sig ta väldigt lång tid. Man kartlade både personuppgifterna i sig, vilka system dessa förvarades i och vilka leverantörer som var involverade i behandlingen. Det visade sig att samtliga kategorier var ganska många till antalet.

Organisationer står nu inför en liknande utmaning med NIS2, där det istället för personuppgifter handlar om information. Man behöver nu kartlägga vilken information organisationen har, vilka system informationen hanteras i och vilka leverantörer man använder sig av.

Om ni har arbetat med informationssäkerhet tidigare behöver detta inte bli ett stort arbete. Då kan ni dra nytta av det arbete ni utfört inom exempelvis informationsklassning och riskanalys. Men är ni nya på ämnet kan arbetet bli omfattande.

Att arbeta med riskanalyser är dessutom bara ett av kraven i NIS2. Man måste uppfylla fler krav och införa fler säkerhetsåtgärder än så. Så avsätt tid för att införa, testa och förbättra era arbetssätt innan direktivet träder i kraft.

 

#2 Använd er registerförteckning för att säkra leverantörskedjan!

Ett av kraven i NIS2 är att organisationen måste säkra hela sin leverantörskedja. För att säkra leverantörskedjan måste organisationer ha koll på vilka leverantörer och underleverantörer de använder sig av och se till att dessa har rätt säkerhetsnivå. Detta är en viktig fråga att prioritera eftersom det kan finnas en hel del sårbarheter och risker i leverantörsledet.

För de som skapade en ordentlig registerförteckning i enlighet med GDPR och fortsätter att arbeta med den, finns det en bra lista över leverantörer som organisationen har. I så fall behöver ni bara komplettera listan med de leverantörer som inte behandlar personuppgifter åt er.

Dessutom kan ni leta i er lista av PUB-avtal för att hitta era underleverantörer. Om ni har ingått ett PUB-avtal, finns det säkerligen säkerhetsåtgärder som ni helt enkelt kan utvidga. Ett exempel på detta är att utöka avtalet med krav på riskanalyser. 

 

#3 Utbilda organisationen tidigt

När GDPR började gälla drogs många med en organisation som inte hade kompetens inom detta område. Om man hade börjat med att utbilda hade det varit lättare att skapa en förståelse för varför detta ska göras, hur det ska göras och därigenom bli mer effektiva. Vänta därför inte med dina utbildningsinsatser!

Ge de anställda möjligheten att förstå för att därigenom skapa förutsättningar för en effektivare implementering av det nya direktivet i er organisation.

Med NIS2 följer dessutom krav på att ledningen ska utbilda sig i frågan. Det vill säga, det räcker inte längre att tillsätta en ansvarig person som ska driva hela arbetet. Styrelsen har ett större ansvar och behöver därför höja sin egen kompetensnivå genom utbildning

 

Vill du lära dig mer om NIS2?

I vår korta men fullspäckade utbildning ger vi dig verktygen för att förstå juridiken och – framför allt – tillämpa den i praktiken. Läs mer om utbildningen i NIS2 här. –>

 

Relaterat innehåll:

Omfattas din organisation av NIS2? Få svaret i tre steg

Har NIS2 skapat förvirring i din organisation? Oroa dig inte, ni är inte ensamma. Bedömningen om NIS2 omfattar ens organisation kan vara en komplex och förvirrande process. För att göra det hela mindre överväldigande har vi brutit ned bedömningsprocessen i tre klara steg. Så ni
Läs mer »

ISO27001 – det här innebär en certifiering

Överväger din organisation att sträva efter en ISO 27001 certifiering? I det här blogginlägget går vi igenom vad ISO 27001 är och hur en certifiering kan gynna din organisation.  Innehåll: Vad är ISO 27000? Vad innebär en ISO certifiering? Hur kan en certifiering stärka min organisation?
Läs mer »