NIS2 utbildningskrav - Så säkerställer du informationssäkerhet
NIS2 har lagkrav på utbildning inom området informations- och cybersäkerhet. Vi går igenom kraven med förslag på hur ni som organisation kan leva upp till dessa lagkrav.
Vad säger NIS2 om utbildning?
Det är inte ovanligt att första vägen in för en attack är via människor som blir lurade till att klicka på en länk, öppna bilagor eller på annat sätt förenkla en attack. Det är därför viktigt att säkerställa att vi levande varelser är inkluderade i det arbete som görs för att förstärka säkerheten.
NIS2 samt den svenska lagen om Cybersäkerhet har tagit fasta på detta genom att lägga in två krav kring utbildning inom området informations- och cybersäkerhet. I NIS2 direktivet är detta reglerat i Artikel 20 genom följande två delar:
- “säkerställa att medlemmarna i väsentliga och viktiga entiteters ledningsorgan är skyldiga att genomgå utbildning”
- “och ska uppmuntra väsentliga och viktiga entiteter att regelbundet erbjuda liknande utbildning till sina anställda för att de ska få tillräckligt med kunskap och kompetens”
I förslaget lagt för lagen om Cybersäkerhet ställs ett tydligare krav kring erbjudande av utbildning till anställda i 3 kap §3
“Ledningen i enskilda och offentliga verksamheter ska genomgå utbildning om riskhanteringsåtgärder och anställda ska erbjudas sådan utbildning”
Lagen öppnar även för att ytterligare föreskrifter kring utbildningen kan lämnas av regeringen eller utsedd myndighet.
Utbildning är även normalt en del av ledningssystem för informationssäkerhet (LIS / ISMS), ser man till ISO 27001:2022 är det kontrollen 6.3 som avhandlar området.
Hur kan man lösa utbildningen för NIS2?
Börjar vi med den mer generella utbildningen som ska erbjudas anställda handlar det om att bygga en mer övergripande kunskap kring de hot som är aktuella samtidigt som kunskap ges för hur man undviker dessa. Detta är normalt det som brukar ingå i de mer klassiska “Awareness” programmen.
Det skall noteras att det är av vikt att hålla dessa uppdaterade för att säkerställa att nya hot inkluderas i utbildningen och att uppdateringar görs kring hot som ändras. Det bör även finnas möjlighet att säkerställa att utbildningen beaktar eventuella sektorsspecifika hot.
Cegal kan inom området erbjuda vår tjänst “Cyber Security Awareness” som inkluderar ett grundmaterial för utbildningar inom området. Sektorsspecifika delar kan enkelt adderas på i denna tjänst. Som standard inkluderas även möjligheten att testa de anställdas kunskaper genom simulerade försök genom s.k. phishing.
Det är även viktigt att beakta om vissa delar av verksamheten kan behöva ytterligare utbildning i mer specifika områden, detta kan exempelvis vara personal som ansvarar för IT och OT utrustning, personal i delar av verksamheten som anses som extra känslig m.m.
Ledningen bör utöver den generella utbildningen även få en fördjupad mer anpassad utbildning. Kravet är att ledningen skall ha förståelse för de riskhanteringsåtgärder som görs för att säkra bolaget mot de hot som finns mot verksamheten. Där Artikel 21 §2 beskriver vilka områden som skall omfattas.
Ledningens utbildning för NIS2 rekommenderar vi att den genomförs som en lärarledd utbildning, detta för att få en god interaktion med möjlighet att fördjupa sig inom de frågor som ledningen lyfter vid utbildningen. Materialet för utbildningen bör även det vara anpassat dels till ledningens kunskapsnivå, dels företagets specifika förutsättningar vad gäller implementerade IT och OT system samt identifierade hot.
Cegal och NIS2
Cegals konsulter inom informations- och cybersäkerhet kan stötta er i arbetet med att etablera LIS, antingen genom att ta ett helhetsansvar och driva arbetet med er, eller som stöd i specifika delar av etableringen av LIS.
Cegals tjänst “Cyber Security Awareness” erbjuder både standardiserade utbildningar inom informations- och cybersäkerhet, såväl som möjligheten till specialanpassade utbildningar. Tjänsten möjliggör god uppföljning av vilka som genomgått utbildningen och möjligheten till simulerade phishing-tester för att mäta kunskapsnivån om detta specifika område.