En enkel beredskapssjekkliste for digitalsikkerhetsloven og NIS2
Det er mye støy rundt digitalsikkerhetsloven og NIS2 om dagen, og det meste er skrevet for jurister eller for IT-avdelinger i store konsern. Ingen av delene er deg. Så her er en enkel versjon. Du kan gå gjennom den på en ettermiddag, på ett anlegg, uten å kjøpe noe som helst.
Ingenting av dette gjør deg etterlevende i seg selv, og den som lover det, selger noe. Det du får, er et bilde av omtrent hvor du står, og en ærlig liste før en tilsynsmyndighet, et forsikringsselskap eller en tilfeldig aktør lager en for deg.
1. Vit hva du har
Du kan ikke beskytte eller dokumentere noe du aldri har skrevet ned. Begynn her, selv om det bare blir et regneark.
- Før opp hver enhet på anlegget som kobles til et nettverk: fôring, oksygen, pumper, dosering, sensorer, kameraer, fjerntilgangen, kontormaskinene.
- Noter for hver enkelt hvem som har laget den, omtrent hvor gammel den er, og om den fortsatt får oppdateringer.
- Merk hvilke som kan nås utenfra det lokale nettverket. Vær ærlig, og er du i tvil, anta ja.
2. Lukk de enkle dørene
Dette er delen som stopper de tilfeldige aktørene, og den er stort sett gratis.
- Bytt alle standard- og delte passord. Én innlogging per person der du kan.
- Slå av fjerntilgang du ikke faktisk bruker.
- Sett styringsutstyret på et eget nettverk, adskilt fra kontor- og gjestenett.
- Sørg for at noen har ansvar for å legge inn oppdateringer, og at det faktisk skjer.
3. Kunne bevise det
Dette er forskjellen på å drive med sikkerhet og å kunne vise det. Loven, NSMs grunnprinsipper og NIS2 bryr seg alle om dokumentasjon, ikke om gode intensjoner.
- Hold enhetslista oppdatert, med en dato på.
- Skriv ned leverandørene dine og hva de har tilgang til. Loven skyver krav ned til dem også.
- Ha et kort, skriftlig notat om hvordan dere ville håndtert en hendelse, og hvem som gjør hva.
- Før en enkel oversikt over tiltakene dere har gjort, så dere kan vise utvikling over tid.
4. Vær klar for den dårlige dagen
- Vit hvem du ringer, internt og eksternt, til enhver tid.
- Vit hvordan dere ville drevet anlegget hvis styringssystemene lå nede i 72 timer.
- Sørg for at det finnes sikkerhetskopier av konfigurasjonene, og at noen har testet å gjenopprette en.
Hvordan dette henger sammen med regelverket
Punkt 1 og 3 er kjernen i det digitalsikkerhetsloven og NSMs grunnprinsipper ber deg vise: at du kjenner systemene dine, og at du kan dokumentere dem. Punkt 2 er den praktiske risikoreduksjonen. Punkt 4 er hendelsesberedskap, som NIS2 vektlegger tungt. Du trenger ikke sitere paragrafnumre til et styre. Du trenger å kunne vise arbeidet.
Vil du ha den utskriftsvennlige versjonen, og et og annet notat som dette?
Legg igjen e-posten din. Vi sender sjekklista som en enkel oversikt, og innimellom et kort notat om OT og regelverk i havbruk. Ingen spam, meld deg av når du vil.
Går du gjennom dette og det ærlige svaret er «jeg er ikke sikker», så er det akkurat det en beredskapssjekk er til for. Vi gjør gjennomgangen sammen med deg, på anlegget ditt, og gir deg dokumentasjonen til slutt. Vi tar inn første pilotanlegg i Troms og Finnmark nå.
Skrevet av Havvakts grunnlegger. Fullt navn og bio når Havvakt blir en heltidsjobb. Inntil da får arbeidet tale først.