Les videre og finn ut av hvordan synergien mellom CIS18 og NIS2 kan skape en robust og helhetlig strategi for cybersikkerheten i organisasjonen din.
CIS18 og NIS2 – hvordan henger de sammen?

CIS18 og NIS2 – hvordan henger de sammen?

Time Reading
7 minutters lesing
NIS2
CIS18

Cybersikkerhet er et strategisk imperativ for både store og små organisasjoner, og med implementeringen av NIS2-direktivet i oktober 2024 har kravene til cybersikkerhet økt betraktelig. CIS18 kan fungere som et praktisk rammeverk for å strukturere cybersikkerhetsarbeidet og hjelpe organisasjonen din med å oppfylle flere av de viktigste kravene i direktivet.

Det er viktig å være klar over at selv organisasjoner som ikke er direkte omfattet av NIS2, kan bli påvirket av kravene - for eksempel som leverandører til selskaper som må overholde direktivet.

Forstå samspillet mellom CIS18 og NIS2

Hva innebærer CIS18?

CIS18 er utviklet av Centre for Internet Security (CIS), og består av 18 kontroller som tar for seg de vanligste truslene mot cybersikkerhet. Rammeverket bygger på ekspertise fra flere sektorer og er utformet for å håndtere et bredt spekter av sikkerhetstrusler.

CIS18 er en frivillig standard som fungerer som anbefalinger for organisasjoner som ønsker å styrke cybersikkerheten. Med sine 18 kontroller tilbyr rammeverket en systematisk tilnærming til hvordan man kan redusere risikoen for dataangrep. Kontrollene spenner over en rekke områder, blant annet tilgangskontroll, overvåking, hendelseshåndtering og datahåndtering, og gir detaljert veiledning om hvordan organisasjoner kan identifisere, prioritere og implementere effektive sikkerhetstiltak.

Hva innebærer NIS2?

NIS2-direktivet er en oppdatert versjon av EUs opprinnelige NIS-direktiv, og har som mål å styrke cybersikkerheten i alle medlemslandene. Direktivet retter seg mot organisasjoner i kritiske sektorer som energi, helse, transport og finans, og krever at de håndterer et bredt spekter av trusler mot nettverks- og informasjonssystemer.

Direktivet fokuserer på governance og compliance, og krever implementering av tekniske, organisatoriske og operasjonelle sikkerhetstiltak, inkludert risikostyring, hendelseshåndtering, sikkerhet i leverandørkjeden og kontinuerlig overvåking. NIS2 sikrer en systematisk tilnærming til å beskytte både kritiske funksjoner og data mot komplekse cybertrusler.

CIS18-arbeidet understøttes med NIS2-compliance på denne måten

CIS18 fungerer som et praktisk rammeverk for å hjelpe organisasjoner med å implementere noen av de tekniske tiltakene som er nødvendige for å oppfylle kravene i NIS2-direktivet. Mens NIS2 beskriver hva organisasjoner må gjøre for å sikre compliance, tilbyr CIS18 en strukturert tilnærming til hvordan cybersikkerheten kan styrkes i praksis.

De 18 kontrollene i CIS18 dekker en rekke områder som tilgangskontroll, nettverksovervåking og hendelseshåndtering. Kontrollene kan integreres i organisasjonens prosesser for å forbedre sikkerheten og støtte sentrale krav i NIS2. CIS18 er spesielt verdifullt for å styrke det operasjonelle grunnlaget for compliance, ettersom det tilbyr en skalerbar og effektiv tilnærming til implementering av tekniske sikkerhetstiltak.

Det er viktig å merke seg at kravene i NIS2 strekker seg utover det tekniske nivået og omfatter organisatoriske, juridiske og strategiske elementer. For å bygge bro mellom de tekniske kontrollene i CIS18 og de mer omfattende kravene i NIS2, kan standarder som ISO 27001 utfylle arbeidet. ISO 27001 gir et rammeverk for informasjonssikkerhetsstyring som fokuserer på blant annet governance og risikohåndtering, noe som støtter en helhetlig tilnærming til NIS2-compliance.

Integrering av CIS18 og NIS2 i praksis

For å optimalisere cybersikkerheten og arbeide mot NIS2-compliance kan organisasjonen din ta trinnene nedenfor. Husk imidlertid at NIS2 krever blant annet ledelsesansvar, juridisk rapportering og dokumentasjonen om compliance, noe som går utover det tekniske fokuset i CIS18. CIS18 fungerer derfor best som et supplement til en bredere strategi som også omfatter juridiske og organisatoriske elementer.

1) Gjennomfør en modenhetsvurdering

Før organisasjonen begynner å bruke CIS18 til å arbeide med NIS2, er det viktig å forstå det nåværende nivået av cybersikkerhet. En modenhetsvurdering innebærer:

  • Kartlegging av eksisterende sikkerhetstiltak og identifisering av mangler i forhold til NIS2-kravene.
  • Evaluering av organisasjonens implementering av CIS18-kontroller, inkludert tekniske, operasjonelle og organisatoriske tiltak.
  • Prioritering av tiltak basert på de risikoene og kravene som er mest relevante for organisasjonens bransje, størrelse og kritiske funksjoner.

2) Implementer CIS18 som ramme

CIS18 kan fungere som et teknisk rammeverk for å styrke cybersikkerheten, men bør integreres i en bredere strategi. Implementeringen av CIS18 innebærer:

  • Velge de mest relevante kontrollene fra CIS18 som støtter organisasjonens behov. For eksempel kan kontroller for tilgangsbegrensning, nettverksovervåking og hendelseshåndtering prioriteres i de tidlige stadiene.
  • Integrere CIS18-kontrollene i organisasjonens arbeidsflyter og teknologiske infrastruktur for ikke bare å støtte opp om lovgivningen, men også forbedre den daglige sikkerheten.
  • Bruke CIS18 som en kontinuerlig prosess der sikkerhetskontrollene kontinuerlig forbedres og tilpasses etter hvert som nye trusler dukker opp.

3) Overvåk og tilpass

Cybersikkerhet og compliance av NIS2 er en dynamisk prosess, og organisasjoner bør derfor ta initiativ:

  • Etabler overvåkningsmekanismer som kontinuerlig evaluerer effektiviteten av sikkerhetstiltakene. Dette kan for eksempel omfatte automatiserte systemer for overvåking av nettverkstrafikk eller periodiske sikkerhetsrevisjoner.
  • Løpende risikovurderinger for å identifisere nye trusler eller sårbarheter og oppdatere sikkerhetstiltakene deretter.
  • Dokumentere oppdateringer og tilpasninger slik at organisasjonen alltid kan dokumentere compliance overfor tilsynsmyndigheter.

4) Integrer compliance i governance

En langsiktig og bærekraftig strategi for cybersikkerhet må integreres i organisasjonens struktur gjennom:

  • Ledelsen involveres i cybersikkerhetsstrategien og holder styret og toppledelsen informert om status og fremdrift.
  • Etabler tydelige retningslinjer og prosedyrer som knytter kravene til NIS2 sine compliancekrav til organisasjonens overordnede forretningsmål.
  • Fremme en cybersikkerhetskultur i organisasjonen gjennom opplæring og bevisstgjøring, slik at ansatte på alle nivåer forstår sin egen rolle i å opprettholde sikkerheten.

Helhetlig cybersikkerhet

Cybersikkerhet er et punkt på dagsordenen som berører alle organisasjoner - store som små. Synergien mellom CIS18s praktiske verktøy og NIS2s juridiske krav kan resultere i en strategi som både beskytter mot trusler og styrker det interne og eksterne samarbeidet.

Når cybersikkerhet blir en del av organisasjonens DNA, øker det både motstandskraften mot trusler og tilliten fra kunder og samarbeidspartnere. Resultatet er at cybersikkerhet blir mer enn bare compliance - det blir en strategisk fordel som styrker organisasjonens konkurransekraft.
Logo

Andre artikler

CIS18 - Hva er det og hvordan kan du bruke det?

Time Reading
9 minutters lesing
NIS

CIS18 vs. ISO 27001: Hva er forskjellen?

Time Reading
6 minutters lesing
ISO
NIS2

NIS2: Forstå direktivet om nett- og informasjonssikkerhet

Time Reading
8 minutters lesing
NIS