Kategori 7 av 10 · Art. 21(2)(g)

Grunnleggende cyberhygiene og opplæring

Ansatte er ofte det svakeste leddet. NIS2 krever grunnleggende cyberhygiene-praksis og regelmessig opplæring for alle, inkludert ledelsen.

7.1

Gjennomfører alle ansatte regelmessig opplæring i informasjonssikkerhet?

Kritisk

NIS2 krever eksplisitt at ansatte skal ha opplæring. "Regelmessig" betyr minst årlig, gjerne oftere med korte påminnelser. Opplæringen bør dekke phishing, passordsikkerhet, og rapportering av hendelser.

7.2

Har ledelsen (inkludert styret) gjennomgått opplæring i cybersikkerhet?

Kritisk

NIS2 er eksplisitt på at ledelsen skal ha kompetanse til å forstå og vurdere sikkerhetsrisikoer. Dette er et av de klareste nye kravene og bør tas på alvor.

7.3

Har dere retningslinjer for passord og tilgangshåndtering som ansatte følger?

Viktig

Grunnleggende cyberhygiene inkluderer sterke, unike passord (gjerne via passordmanager), låsing av skjermer, og forsiktig håndtering av e-postvedlegg. Har dere regler, og følges de?

7.4

Gjennomfører dere phishing-tester eller andre bevissthetskampanjer?

Standard

Simulerte phishing-angrep er en effektiv måte å måle og forbedre bevissthet. Det finnes rimelige tjenester tilpasset SMBer. Alternativt kan regelmessige påminnelser og eksempler brukes.

7.5

Har nyansatte en onboarding-prosess som dekker informasjonssikkerhet?

Viktig

Nye ansatte er spesielt sårbare. En enkel introduksjon til virksomhetens sikkerhetsregler og forventninger under onboarding reduserer risikoen betydelig.

7.6

Er det klare regler for bruk av private enheter (BYOD) og hjemmekontor?

Standard

Hybridarbeid skaper nye risikoer. Har dere retningslinjer for om ansatte kan bruke private PCer/mobiler til jobb, og i så fall med hvilke sikkerhetskrav?