<img height="1" width="1" style="display:none" src="https://www.facebook.com/tr?id=2233467260228916&amp;ev=PageView&amp;noscript=1">

NIS2 opplæringskrav: Slik sikrer du informasjonssikkerhet

Daniel Andersson Daniel Andersson, senior informasjonssikkerhetskonsulent i Cegal Sverige. Daniel har omfattende erfaring innen informasjonssikkerhet og er en sertifisert informasjonssikkerhetsleder (CISM) samt en sertifisert cybersikkerhetspraktiker (CSX-P). Med bakgrunn i både teknologi og ledelse har Daniel et bredt perspektiv på dagens utfordringer og deres ulike løsninger.
09/23/2024 |

NIS2 har lovpålagte krav til opplæring innen informasjons- og cybersikkerhet. Vi går gjennom kravene med forslag til hvordan du som organisasjon kan leve opp til disse lovkravene.

Hva sier NIS2 om opplæring?

Det er ikke uvanlig at den første veien inn i et angrep går via personer som blir lurt til å klikke på en lenke, åpne vedlegg eller på annen måte legge til rette for et angrep. Det er derfor viktig å sørge for at vi mennesker blir inkludert i arbeidet som gjøres for å styrke sikkerheten.

NIS2 har tatt hensyn til dette ved å legge til to krav om opplæring innen informasjons- og cybersikkerhet. I NIS2-direktivet er dette regulert i artikkel 20 gjennom følgende to deler:

        • "sikre at medlemmene av ledelsesorganene i signifikante og viktige enheter er pålagt å gjennomgå opplæring"
        • "og skal oppmuntre vesentlige og viktige enheter til å gi tilsvarende opplæring til sine ansatte på regelmessig basis for å sikre at de har tilstrekkelige kunnskaper og ferdigheter"

Opplæring er også normalt en del av styringssystemet for informasjonssikkerhet (ISMS), hvis du ser på ISO 27001:2022, er det kontroll 6.3 som omhandler området.
Opplæring er normalt en del av styringssystemet for informasjonssikkerhet (ISMS)


Hvordan håndtere opplæringen for NIS2?

Tar vi utgangspunkt i den mer generelle opplæringen som skal tilbys de ansatte, handler det om å bygge opp en mer omfattende kunnskap om de truslene som er relevante, og samtidig gi kunnskap om hvordan de kan unngås. Det er dette som vanligvis inngår i de mer klassiske "Awareness"-programmene.

Det er viktig å holde disse oppdatert for å sikre at nye trusler inkluderes i opplæringen, og at det gjøres oppdateringer om trusler som endrer seg. Det bør også være mulig å sikre at opplæringen tar hensyn til eventuelle sektorspesifikke trusler.

Cegal kan tilby vår tjeneste "Cyber Security Awareness" på dette området, som inkluderer et grunnmateriale for opplæring på området. Tjenesten kan enkelt utvides med sektorspesifikke deler. Som standard inngår også muligheten for å teste de ansattes kunnskaper gjennom simulerte forsøk på såkalt phishing.

Les mer om vår tjeneste Cyber Security Management her > 

Det er også viktig å vurdere om enkelte deler av virksomheten kan ha behov for tilleggsopplæring på mer spesifikke områder, for eksempel ansatte med ansvar for IT- og OT-utstyr, ansatte i deler av virksomheten som anses som ekstra sensitive, osv.

I tillegg til den generelle opplæringen bør ledelsen også få en grundigere og mer tilpasset opplæring. Kravet er at ledelsen skal ha forståelse for de risikohåndteringstiltakene som iverksettes for å sikre virksomheten mot truslene mot virksomheten. Artikkel 21 §2 beskriver hvilke områder som skal dekkes.

Vi anbefaler at lederopplæringen for NIS2 gjennomføres som et lærerstyrt opplæringsprogram, for å sikre god interaksjon med mulighet til å gå dypere inn i de problemstillinger som ledelsen tar opp under opplæringen. Opplæringsmateriellet bør også tilpasses ledelsens kunnskapsnivå, samt virksomhetens spesifikke forhold med hensyn til implementerte IT- og OT-systemer og identifiserte trusler.


Cegals og NIS2

Cegals konsulenter innen informasjons- og cybersikkerhet kan støtte dere i arbeidet med å etablere LIS, enten ved å ta et overordnet ansvar og drive arbeidet sammen med dere, eller som støtte i spesifikke deler av etableringen av LIS.  
 
Cegals tjeneste "Cyber Security Awareness" tilbyr både standardisert opplæring innen informasjons- og cybersikkerhet, samt mulighet for spesialtilpasset opplæring. Tjenesten muliggjør god oppfølging av hvem som har gjennomført opplæringen og mulighet for simulerte phishing-tester for å måle kunnskapsnivået på dette spesifikke området.

 

 

 

Vil du prate med oss om NIS2?

Vi er klar til å hjelpe deg.

Relaterte artikler

Konsulent
NIS2 - Er du klar til å overleve en krise?
Daniel Andersson Daniel Andersson, senior...
arrow
ordbok
Informasjonssikkerhet
Redaksjonen Cegal ønsker å bygge et...
arrow
Konsulent
NIS2: IT-avtaler og kontinuitetsplaner
Daniel Andersson Daniel Andersson, senior...
arrow