Kategori 1 av 10 · Art. 21(2)(a)

Risikoanalyse og informasjonssikkerhetspolicy

Virksomheten skal ha retningslinjer for risikoanalyse og overordnet informasjonssikkerhet. Dette er grunnlaget for alle andre tiltak — uten risikostyring bygger man i blinde.

1.1

Har virksomheten en dokumentert informasjonssikkerhetspolicy?

Kritisk

En informasjonssikkerhetspolicy er et overordnet dokument som beskriver virksomhetens prinsipper og mål for informasjonssikkerhet. Den behøver ikke være lang, men bør være godkjent av ledelsen og kommunisert til ansatte. Uten dette mangler organisasjonen en felles retning for sikkerhetsarbeidet.

1.2

Gjennomfører dere regelmessige risikovurderinger av IT-systemer og data?

Kritisk

En risikovurdering identifiserer hvilke trusler og sårbarheter som finnes, og vurderer sannsynlighet og konsekvens. "Regelmessig" betyr minst årlig og ved vesentlige endringer (nye systemer, omorganisering, etc.). Mange bruker enkle verktøy som risikomatriser.

1.3

Er det tydelig definert hvem som har ansvar for informasjonssikkerhet i virksomheten?

Kritisk

NIS2 krever at ledelsen tar aktivt ansvar. Det bør være klart hvem som har det daglige ansvaret (f.eks. IT-leder, CISO, eller ekstern rådgiver) og at toppledelsen er involvert i beslutninger. Ansvaret bør være dokumentert, ikke bare "forstått".

1.4

Har dere en oversikt over virksomhetens viktigste informasjonsverdier og systemer?

Viktig

Du kan ikke beskytte det du ikke vet om. En oversikt over kritiske systemer, databaser, og informasjonstyper (kundeinformasjon, helseopplysninger, driftsdata) er nødvendig for å prioritere sikkerhetstiltak riktig.

1.5

Vurderer dere risikoer knyttet til nye prosjekter eller systemendringer før de gjennomføres?

Viktig

"Security by design" betyr at sikkerhet vurderes tidlig, ikke legges til etterpå. Selv en enkel sjekkliste ved nye prosjekter eller innkjøp er et godt steg.

1.6

Rapporteres risikovurderinger og sikkerhetsstatus til ledelsen?

Viktig

NIS2 stiller krav til at ledelsen skal ha oversikt og ta ansvar. Det betyr at sikkerhetsrisiko bør rapporteres til styret eller ledergruppen regelmessig — ikke bare ligge hos IT-avdelingen.