Cybersäkerhet är en strategisk nödvändighet för både stora och små organisationer, och med införandet av NIS2-direktivet i oktober 2024 har kraven på cybersäkerhet skärpts avsevärt. CIS18 kan fungera som ett praktiskt ramverk för att strukturera cybersäkerhetsarbetet och hjälpa organisationer att uppfylla flera av direktivets centrala krav.
Det är viktigt att vara medveten om att även organisationer som inte direkt omfattas av NIS2 kan påverkas av kraven – till exempel leverantörer till företag som måste följa direktivet.
Förstå samspelet mellan CIS18 och NIS2
Vad betyder CIS18?
CIS18 har utvecklats av Center for Internet Security (CIS) och består av 18 kontroller som adresserar de mest förekommande cybersäkerhetshoten. Ramverket bygger på expertis från flera sektorer och är utformat för att hantera en bred variation av säkerhetshot.
CIS18 är en frivillig standard som fungerar som rekommendationer för organisationer som vill stärka sin cybersäkerhet. Med sina 18 kontroller erbjuder ramverket en systematisk metod som syftar till att minska risken för cyberattacker. Kontrollerna täcker flera områden, inklusive åtkomstkontroll, övervakning, incidenthantering och datahantering, och ger detaljerade riktlinjer för hur organisationer kan identifiera, prioritera och implementera effektiva säkerhetsåtgärder.
Vad betyder NIS2?
NIS2-direktivet är en uppdaterad version av EU:s ursprungliga NIS-direktiv, och syftar till att stärka cybersäkerheten inom medlemsländerna. Direktivet riktar sig till organisationer inom kritiska sektorer som energi, hälso- och sjukvård, transport och finans och ställer krav på att hantera en bred uppsättning hot mot nätverks- och informationssystem.
Direktivet fokuserar på governance och compliance och kräver att tekniska, organisatoriska och operativa säkerhetsåtgärder genomförs, inklusive riskhantering, incidenthantering, säkerhet i leveranskedjan och kontinuerlig övervakning. NIS2 säkerställer ett systematiskt tillvägagångssätt för att skydda både kritiska funktioner och data från komplexa cyberhot.
Så stödjer CIS18 arbetet med NIS2-compliance
CIS18 fungerar som ett praktiskt ramverk för att hjälpa organisationer att implementera några av de tekniska åtgärder som krävs för att uppfylla kraven i NIS2-direktivet. Medan NIS2 beskriver vad organisationer måste göra för att säkerställa compliance erbjuder CIS18 ett strukturerat tillvägagångssätt för hur man kan stärka cybersäkerheten i praktiken.
De 18 kontrollerna i CIS18 täcker en rad olika områden – till exempel åtkomstkontroll, nätverksövervakning och incidenthantering. Kontrollerna kan integreras i organisationens processer för att förbättra säkerheten och stödja centrala NIS2-krav. CIS18 är särskilt värdefullt när det kommer till att stärka den operativa grunden för compliance, eftersom det erbjuder ett skalbart och effektivt tillvägagångssätt för att implementera tekniska säkerhetsåtgärder.
Det är viktigt att notera att NIS2:s krav sträcker sig längre än till den tekniska nivån och omfattar organisatoriska, rättsliga och strategiska element. För att överbrygga klyftan mellan de tekniska kontrollerna i CIS18 och de mer omfattande kraven i NIS2 kan standarder som ISO 27001 komplettera arbetet. ISO 27001 tillhandahåller ett ramverk för hantering av informationssäkerhet som fokuserar på bland annat governance och riskhantering, vilket stödjer ett holistiskt förhållningssätt till NIS2-compliance.
Integrering av CIS18 och NIS2 i praktiken
För att optimera cybersäkerheten och arbeta mot NIS2-compliance kan organisationen vidta nedanstående åtgärder. Kom dock ihåg att NIS2 bland annat kräver ledningsansvar, juridisk rapportering och dokumentation av compliance, vilket går utöver det tekniska fokus som CIS18 har. CIS18 fungerar därför bäst som ett komplement till en bredare strategi som även omfattar juridiska och organisatoriska element.
1) Genomför en mognadsbedömning
Innan din organisation börjar använda CIS18 för att arbeta med NIS2 är det viktigt att förstå den nuvarande cybersäkerhetsnivån. En mognadsbedömning innebär:
- Kartläggning av befintliga säkerhetsåtgärder och identifiering av luckor i förhållande till NIS2-kraven.
- Utvärdering av organisationens implementering av CIS18:s kontroller, inklusive tekniska, operativa och organisatoriska åtgärder.
- Prioritering av åtgärdsområden baserat på de risker och krav som är mest relevanta för organisationens bransch, storlek och kritiska funktioner.
2) Implementera CIS18 som ett ramverk
CIS18 kan fungera som ett tekniskt ramverk för att stärka cybersäkerheten, men bör integreras i en bredare strategi. Implementeringen av CIS18 innebär följande:
- Val av de mest relevanta kontrollerna från CIS18 som stöder organisationens behov. Exempelvis kan kontroller för åtkomstbegränsning, nätverksövervakning och incidenthantering prioriteras i ett tidigt skede.
- Integrering av CIS18:s kontroller i organisationens arbetsflöden och tekniska infrastruktur, inte bara för att stödja lagstiftningen utan också förbättra den dagliga säkerheten.
- Tillämpning av CIS18 som en pågående process där säkerhetskontroller kontinuerligt förbättras och anpassas i takt med att nya hot dyker upp.
3) Övervaka och anpassa
Cybersäkerhet och compliance med NIS2 är en dynamisk process och därför bör organisationen ta initiativ till följande:
- Etablering av övervakningsmekanismer som kontinuerligt utvärderar effektiviteten av säkerhetsåtgärderna. Detta kan innefatta automatiserade system för att övervaka nätverkstrafik eller regelbundna säkerhetsrevisioner.
- Löpande riskbedömningar för att identifiera nya hot eller sårbarheter och uppdatera säkerhetsåtgärderna i enlighet med detta.
- Dokumentation av uppdateringar och anpassningar, så att organisationen alltid kan visa compliance gentemot tillsynsmyndigheter.
4) Integrera compliance i governance
En långsiktig och hållbar cybersäkerhetsstrategi måste integreras i organisationens governancestruktur genom:
- Ledningsinvolvering i cybersäkerhetsstrategin, där styrelse och företagsledning kontinuerligt informeras om status och framsteg.
- Utformning av tydliga policyer och procedurer som kopplar NIS2:s krav på compliance till organisationens övergripande affärsmål.
- Främjande av en cybersäkerhetskultur i organisationen genom utbildning och information, så att medarbetare på alla nivåer förstår sin roll i att upprätthålla säkerheten.
Holistisk cybersäkerhet
Cybersäkerhet är en punkt på agendan som påverkar alla organisationer – stora som små. Synergin mellan CIS18:s praktiska verktyg och NIS2:s lagkrav kan resultera i en strategi som både skyddar mot hot och stärker det interna och externa samarbetet.
När cybersäkerhet blir en del av företagets DNA ökar både motståndskraften mot hot och förtroendet från kunder och partners. Som ett resultat blir cybersäkerhet mer än bara compliance – det blir en strategisk fördel som stärker organisationens konkurrenskraft.