NIS2-direktivet är i kraft i Sverige. Jag hjälper organisationer att förstå om de omfattas, mäta sitt nuläge mot kraven, och genomföra de tekniska och organisatoriska åtgärder som faktiskt krävs - inte bara dokumenten.
De organisationer vi arbetar med brottas oftast med minst ett av dessa.
Direktivet täcker fler sektorer och mindre organisationer än det tidigare NIS-direktivet. Många upptäcker att de är essential eller important entity utan att veta om det.
Säkerhet sköts ad hoc av olika personer. Ingen kan svara på var ni faktiskt befinner er mot artikel 21:s tio krav på riskhantering.
NIS2 kräver tidig varning inom 24 timmar och incidentanmälan inom 72 timmar. Idag finns det varken plan, rollfördelning eller övning.
Ledningen har ett uttalat ansvar enligt direktivet. Att inte ha en plan är inte längre ett alternativ - och styrelsen behöver förstå sitt åtagande.
Selektivt urval av uppdrag - där senior teknisk kompetens gör störst skillnad.
Klassificering av er verksamhet - essential, important eller utanför - baserat på sektor, storlek och tjänster. Skriftligt utlåtande.
Systematisk genomgång av de tio riskhanteringsåtgärderna direktivet kräver, med prioriterad åtgärdsplan.
Kartläggning av tredjepartsberoenden och kontroller för leverantörskedjans säkerhet - där många incidenter idag uppstår.
Incidentplan, rollfördelning, kommunikationsmallar och en praktisk övning så att 24/72-timmarstidsfristerna går att hålla.
MFA, identitets- och åtkomststyrning, kryptering, säkerhetskopior, härdning, loggning. De konkreta åtgärderna som faktiskt rör risken.
Policy, ansvarsfördelning, utbildning av ledningen och dokumentation som krävs för att kunna visa upp efterlevnaden vid tillsyn.
Tydlig process från första samtalet till levererat resultat.
Förutsättningslöst samtal om verksamhet, sektor och vad som oroar er mest.
Omfattningsbedömning och gap-analys mot artikel 21. Ni får en skriftlig riskbild.
Genomförande av prioriterade åtgärder - tekniskt och organisatoriskt - med veckovis avstämning.
Dokumentation, rutiner och övade incidentprocesser så att efterlevnaden lever vidare.
Transparenta upplägg utan dolda kostnader. Alla priser exkl. moms.
Klassificering om ni omfattas, vilken kategori och vilka tidsfrister som gäller.
Komplett granskning mot artikel 21 och en prioriterad, kostnadssatt åtgärdsplan.
Löpande genomförande och rådgivning enligt åtgärdsplanen med prioriterad tillgänglighet.
Svar på det jag oftast får höra.
Nästa steg
Har ni en ambitiös idé eller ett tekniskt vägval där det är värt att tänka rätt från början? Hör av er - förutsättningslöst.
Ta kontakt