Kategori 10 av 10 · Art. 21(2)(j)

Flerfaktor-autentisering og sikret kommunikasjon

Bruk av flerfaktor-autentisering (MFA), sikret kommunikasjon, og sikret nødkommunikasjon. Dette er det mest konkrete tekniske kravet i NIS2.

10.1

Er flerfaktor-autentisering (MFA) aktivert for tilgang til kritiske systemer?

Kritisk

MFA (f.eks. app-basert engangskode, fysisk sikkerhetsnøkkel) er et av de mest effektive tiltakene mot kontokapring. NIS2 nevner dette eksplisitt. Prioriter: e-post, VPN, admin-kontoer, skyportaler, og forretningskritiske systemer.

10.2

Er MFA aktivert for alle brukere, eller kun utvalgte?

Viktig

Ideelt sett bør MFA gjelde alle brukere, ikke bare IT-personell. Et kompromittert vanlig brukerkontoer kan være et springbrett for videre angrep.

10.3

Bruker dere sikrede kommunikasjonskanaler for sensitiv intern kommunikasjon?

Viktig

Sensitiv kommunikasjon (lederbeslutninger, sikkerhetsvarsler, krisehåndtering) bør gå via kanaler med kryptering. Teams, Slack, Signal, etc. — vurder hva som brukes og om det er godt nok.

10.4

Har dere en plan for nødkommunikasjon hvis primære kommunikasjonskanaler er utilgjengelige?

Viktig

Hva gjør dere hvis e-post er nede og Teams ikke virker? En enkel plan med alternative kontaktmetoder (telefonnumre, kryptert meldingsapp) for nøkkelpersonell kan utgjøre forskjellen i en krise.

10.5

Har dere vurdert og begrenset bruken av SMS som autentiseringsmetode?

Standard

SMS-basert MFA er bedre enn ingen MFA, men sårbar for SIM-swapping og avlytting. For høy-risiko tilganger bør app-basert eller hardware-basert MFA foretrekkes.