NIS2 Hitamælir
Quiz progress
1 / 15
Þetta mat er óformlegt og eingöngu hugsað til viðmiðunar. Niðurstöðurnar koma ekki í stað formlegrar úttektar eða ráðgjafar vegna NIS2 löggjafarinnar. Syndis ber enga ábyrgð á nákvæmni matsins eða notkun þess.
Question 1
Hafa æðstu stjórnendur hlotið fræðslu um ábyrgð þeirra og áhættustýringu tengda netöryggismálum?
Question 2
Hefur verið framkvæmt áhættumat og ráðstafanir gerðar til að tryggja öryggisstig net- og upplýsingakerfa?
Question 3
Eru stefnur um áhættumat og öryggi upplýsingakerfa til staðar?
Question 4
Er tækniumhverfi vaktað m.t.t. öryggisatvika og þau meðhöndluð á hátt sem tryggir hraða greiningu, úrvinnslu og tilkynningar?
Question 5
Hefur rekstrarsamfelluáætlun verið skjalfest og er hún prófuð reglulega í sviðsmyndaæfingum?
Question 6
Er áhætta metin við val á birgjum og þjónustuaðilum og tryggt að þessir aðilar uppfylli viðeigandi öryggiskröfur?
Question 7
Eru öryggiskröfur hluti af innkaupaferli net- og upplýsingakerfa, s.s. kröfur um uppfærslur, stuðning framleiðenda, öruggar stillingar?
Question 8
Framkvæmið þið reglulegar innri úttektir og innbrotsprófanir?
Question 9
Hlýtur starfsfólk reglubundna þjálfun um mikilvægi og grundvallaratriði netöryggis?
Question 10
Eru stefnur og ferlar til staðar sem skilgreina kröfur um notkun dulkóðunar þar sem við á?
Question 11
Er bakgrunnur og hæfni nýs starfsfólks metinn við ráðningu, öryggisskyldur skrásettar í ráðningasamninga, og on- og offboarding ferlar til staðar?
Question 12
Hafa reglur um aðgangsstýringar verið skilgreindar og er aðgangur endurmetinn reglulega?
Question 13
Er uppfærð eignaskrá til staðar yfir tæki og hugbúnað sem tengjast netöryggi?
Question 14
Er fjölþátta-auðkenningar (MFA) krafist við innskráningu, að lágmarki inn í mikilvæg/viðkvæm kerfi?
Question 15
Eru tal-, mynd- og textasamskipti innan einingarinnar vernduð og hafa neyðarsamskiptaleiðir verið skilgreindar?
Rautt
Aðgerða er þörf strax.
Niðurstöðurnar benda til þess að verulega vanti upp á til að fyrirtækið uppfylli kröfur NIS2. Núverandi staða felur í sér áhættu, bæði hvað varðar öryggi gagna og möguleg viðurlög þegar lögin taka gildi. En ekki örvænt, það er enn tími til stefnu ef hafist er handa strax.
Ráðlegging: Það þarf að setja af stað vinnu við uppbyggingu á öryggiskerfi fyrirtækisins án tafar. Við mælum með að þið bókið fund með ráðgjafa Syndis sem fyrst til að kortleggja stöðuna og setja upp raunhæfa áætlun að öruggari framtíð.
Gult
Góður grunnur en úrbóta er þörf.
Þið eruð á réttri leið og uppfyllið hluta af kröfunum, en svörin benda til þess að mikilvæga þætti vanti upp á til að ná fullri hlítni við NIS2. Það gætu verið göt í áhættustýringu, viðbragðsáætlunum eða þjálfun starfsfólks sem þarf að huga að.
Ráðlegging: Nú er rétti tíminn til að brúa bilið. Við mælum eindregið með formlegri gloppugreiningu (Gap Analysis). Þar förum við yfir hvað vantar upp á og setjum upp aðgerðaáætlun svo þið náið græna ljósinu áður en lögin taka gildi.
Grænt
Vel gert! Þið virðist standa vel að vígi.
Svör ykkar benda til þess að fyrirtækið sé með öflugt öryggiskerfi og góða ferla sem samræmast vel kröfum NIS2. Þið eruð komin lengra en flestir og hafið lagt góðan grunn að öruggum rekstri.
Ráðlegging: Þótt staðan sé góð er mikilvægt að sofna ekki á verðinum. NIS2 gerir kröfu um stöðugar úrbætur og eftirlit. Næsta skref væri að fá óháðan aðila til að staðfesta stöðuna með öryggisúttekt eða innbrotaprófun (Penetration Test) til að tryggja að varnirnar haldi örugglega þegar á reynir.
Svör við algengum spurningum
NIS2 regluverkið er umfangsmikið og það er eðlilegt að spurningar vakni. Hér höfum við tekið saman svör við þeim atriðum sem stjórnendur spyrja oftast um, til að gefa betri mynd af því hvað breytingarnar þýða fyrir þinn rekstur.
Hvað er NIS2 í stuttu máli?
NIS2 er ný tilskipun Evrópusambandsins sem miðar að því að efla netöryggi í mikilvægum innviðum og þjónustu. Tilskipunin leysir af hólmi eldri NIS-reglur og gerir mun ríkari kröfur um áhættustýringu, viðbragðsáætlanir og tilkynningarskyldu vegna netatvika. Markmiðið er að tryggja sameiginlegt hátt öryggisstig innan EES-svæðisins.
Fellur mitt fyrirtæki undir NIS2?
NIS2 víkkar gildissviðið verulega frá eldri lögum. Reglurnar ná nú til fleiri geira, s.s. orku, samgangna, heilbrigðisþjónustu, fjármála, stafrænna innviða, opinberrar stjórnsýslu og matvælaframleiðslu. Almennt gildir þetta um fyrirtæki með fleiri en 50 starfsmenn eða yfir 10 milljónir evra í ársveltu, en undantekningar eru gerðar fyrir mikilvæga aðila óháð stærð. Fyrirtækjum er skipt í "mikilvæga" (essential) og "áríðandi" (important) aðila eftir eðli starfseminnar.
Hverjar eru afleiðingarnar ef við uppfyllum ekki kröfurnar?
Viðurlög við brotum á NIS2 geta verið ströng. Eftirlitsstofnanir hafa heimild til að leggja á stjórnvaldssektir sem geta numið allt að 10 milljónum evra eða 2% af heildarveltu fyrirtækis (hvort sem er hærra) fyrir mikilvæga aðila. Einnig er lögð aukin ábyrgð á stjórnendur (C-level og stjórn), sem geta borið persónulega ábyrgð ef öryggisráðstöfunum er ábótavant.
Hvenær taka lögin gildi á Íslandi?
NIS2 er Evróputilskipun sem þarf að innleiða í íslensk lög í gegnum EES-samninginn. Vinna við frumvarp til nýrra laga um netöryggi stendur yfir. Það er því mikilvægt að fyrirtæki byrji undirbúning strax, þar sem innleiðing á nauðsynlegum öryggisferlum getur tekið tíma.
Hvað gerum við næst eftir að hafa notað NIS2-hitamælinn?
Hitamælirinn gefur ykkur grófa mynd af stöðunni, en næsta skref er að framkvæma formlega gloppugreiningu. Þar er farið ofan í saumana á núverandi öryggisráðstöfunum, stefnum og ferlum til að finna nákvæmlega hvað vantar upp á til að ná fullri hlítni við NIS2. Syndis getur aðstoðað við þá greiningu og uppbyggingu á öryggiskerfum.