NIS2 Art. 21(2)(i)
Personellsikkerhet, tilgangskontroll og verdihåndtering
Hva krever direktivet?
NIS2 Artikkel 21(2)(i) krever tiltak for personellsikkerhet, tilgangskontroll og håndtering av virksomhetens verdier. Hvem har tilgang til hva, og er tilgangene hensiktsmessige? Over tid samler ansatte gjerne opp tilganger som ikke lenger er nødvendige, noe som utgjør en betydelig sikkerhetsrisiko.
Hva betyr dette i praksis?
- Ha en oversikt over hvem som har tilgang til hvilke systemer og data, en enkel tilgangsmatrise er et godt utgangspunkt.
- Praktiser prinsippet om minste privilegium: ansatte skal kun ha tilgangene de trenger for jobben sin.
- Fjern tilganger umiddelbart når ansatte slutter, og juster ved rollebytte, koble dette til HR-prosessen.
- Gjennomgå tilganger regelmessig, for eksempel kvartalsvis for kritiske systemer og årlig for øvrige.
Spørsmål fra egenvurderingen
Her er noen av spørsmålene Kravklar bruker for å vurdere denne kategorien:
9.1 Har dere en oversikt over hvem som har tilgang til hvilke systemer og data?
Uten oversikt kan dere ikke vurdere om tilgangene er hensiktsmessige. En enkel matrise (hvem-har-tilgang-til-hva) for kritiske systemer er et godt utgangspunkt.
9.2 Praktiserer dere prinsippet om minste privilegium (least privilege)?
Ansatte bør kun ha de tilgangene de trenger for å utføre jobben. Over tid samler mange opp tilganger fra ulike roller. Gjennomgår dere dette?
9.3 Har dere en rutine for å fjerne tilganger når ansatte slutter eller bytter rolle?
Ansatte som slutter, men beholder systemtilganger, er en alvorlig risiko. Dette bør skje automatisk eller via en sjekkliste som HR/IT følger ved offboarding. Tilsvarende bør tilganger justeres ved rollebytte.
9.4 Gjennomfører dere bakgrunnssjekk for ansatte i sensitive roller?
For roller med tilgang til spesielt sensitiv informasjon eller kritiske systemer, kan bakgrunnssjekk være hensiktsmessig. Omfanget avhenger av bransje og risiko.