De 10 åtgärdsområdena i artikel 21
NIS2 räknar upp tio minimiåtgärder som alla omfattade organisationer ska genomföra. Bra nyhet: de allra flesta täcks redan av ett moget ISO 27001-system.
1. Riskanalys och informationssäkerhetspolicy
Dokumenterad metod för att identifiera, bedöma och behandla risker.
2. Incidenthantering
Process för upptäckt, hantering och rapportering av incidenter.
3. Driftskontinuitet
Backuphantering, disaster recovery och krishantering.
4. Försörjningskedjans säkerhet
Bedömning av leverantörers och tjänsteleverantörers säkerhet.
5. Säker utveckling och underhåll
Sårbarhetshantering och säker konfiguration av nätverk och system.
6. Utvärdering av åtgärdernas effektivitet
Mätningar, internrevision och ledningens genomgång.
7. Grundläggande cyberhygien & utbildning
Säkerhetsmedvetenhet för alla anställda, även ledning.
8. Kryptografi
Policy och tekniska kontroller för kryptering.
9. HR-säkerhet, åtkomstkontroll och tillgångsförvaltning
Identitets- och behörighetsstyrning genom hela livscykeln.
10. MFA & säker kommunikation
Multifaktor, säker röst-/video-/textkommunikation och nödkommunikation.
Mappning NIS2 ↔ ISO 27001 Annex A
| NIS2 åtgärd | Motsvarande ISO 27001:2022 kontroll |
|---|---|
| Riskanalys | Klausul 6.1, A.5.1, A.5.2 |
| Incidenthantering | A.5.24 – A.5.28 |
| Kontinuitet | A.5.29, A.5.30, A.8.13, A.8.14 |
| Leverantörssäkerhet | A.5.19 – A.5.23 |
| Kryptografi | A.8.24 |
| Åtkomstkontroll | A.5.15 – A.5.18, A.8.2 – A.8.5 |
| MFA | A.8.5 |
Slutsats: Har ni ett välimplementerat ISO 27001-ledningssystem är cirka 80–90 % av NIS2-kraven redan på plats. ISO Direkt hjälper er stänga gapet.