kravklar

NIS2 hendelseshåndtering: Slik bygger du en realistisk responsplan for SMB

Skrevet av Jakob Torsvik 9 min lesetid

Hendelseshåndtering er den delen av NIS2 som koster mest når den ikke fungerer, og likevel er det den de fleste tolker smalest. Mange tenker «vi har et telefonnummer å ringe når noe brenner», krysser av kravet, og går videre. Artikkel 21(2)(b) i NIS2-direktivet (EU) 2022/2555 går lenger enn det.

Kravet til hendelseshåndtering er et selvstendig sikkerhetstiltak på linje med risikoanalyse, tilgangsstyring og kryptografi. Det handler om hvordan virksomheten oppdager, klassifiserer, demper og lærer av hendelser – ikke bare hvordan dere varsler myndighetene når noe har skjedd. Varslingspliktene står i Artikkel 23, og for tilbydere av samfunnsviktige tjenester i Norge i digitalsikkerhetsforskriften § 17. De er en separat plikt med egne frister.

Denne guiden er for daglig leder, IT-ansvarlig eller sikkerhetskontakt i en norsk SMB som ikke har et SOC, ikke skal kjøpe et SIEM-prosjekt på seks måneder, og som likevel må vise at hendelseshåndteringen er på plass. Vi gjør den operativ.

Hva Artikkel 21(2)(b) faktisk krever

NIS2 lister opp ti minimumstiltak i Artikkel 21(2). Bokstav (b) sier kort og godt at virksomheten skal ha tiltak for «hendelseshåndtering». Direktivet definerer ikke begrepet i detalj, men lest i sammenheng med fortalen og resten av Artikkel 21 blir innholdet tydelig. Hendelseshåndtering omfatter forebygging, oppdagelse, respons, gjenoppretting og læring. Ikke bare varsling.

Hele Artikkel 21(2) bygger på en all-hazards approach. Tiltakene skal beskytte mot alle relevante trusler – både digitale angrep og fysiske hendelser som strømbrudd, vannlekkasje eller utstyrshavari. Hendelseshåndteringsprosessen må derfor kunne fange opp mer enn ransomware. En leverandør som plutselig forsvinner, et serverrom som blir for varmt, eller en ansatt som ved et uhell sletter en kritisk database – alt er hendelser i NIS2-forstand når de truer tjenestens tilgjengelighet, integritet eller konfidensialitet.

Risikoanalysen (Artikkel 21(2)(a)) er forutsetningen: den bestemmer hva som er kritiske hendelser å håndtere i deres virksomhet. Har dere ikke gjort den, må den komme først – se guiden om NIS2-risikoanalyse. Hele oversikten over de ti tiltakene viser hvordan brikkene henger sammen.

For dere som er underleverandører til større aktører omfattet av NIS2: kravene følger ofte via kontrakt allerede før norsk transponering er på plass. Kundene deres må kunne dokumentere sin egen leverandørkjedesikkerhet (Artikkel 21(2)(d)), og hendelseshåndtering hos dere blir en del av den dokumentasjonen.

En SMB-tilpasset hendelsesresponssyklus

NIST SP 800-61 og ISO/IEC 27035 er rammeverkene de fleste store organisasjoner låner struktur fra. Begge er nyttige som inspirasjon, men ingen av dem er krav under NIS2. Det dere trenger, er en syklus som passer størrelsen deres og som dere faktisk vil bruke. Følgende seks steg er en pragmatisk versjon.

1. Oppdage. Dere kan ikke håndtere det dere ikke ser. Oppdagelse skjer gjennom en kombinasjon av tekniske varsler (EDR-alarm, antivirus, brannmurlogg), leverandørmeldinger (skytjenesten ringer og sier «vi har hatt en hendelse») og menneskelig rapportering (en ansatt sier «dette ser rart ut»).

Det vanligste hullet hos en SMB er at brukerrapportering ikke har et tydelig sted å gå. Hvis varslingsveien er «send e-post til IT-sjefen», så stopper det opp på ferie og i helger. Etabler én kanal – en delt mailboks eller et Teams-rom – som overvåkes av flere.

2. Klassifisere. Ikke alle hendelser er like store. Definer minst tre nivåer på forhånd, for eksempel lav, middels, høy, og avtal hva som utløser hvert nivå. En phishing-e-post fanget av filteret er lav. Brukerkonto kompromittert er middels. Ransomware på filserver er høy.

Klassifiseringen bestemmer eskaleringen. Uten den bruker dere enten alt for mye tid på små hendelser, eller for lite tid på store. Den vanligste feilen er å la den tekniske personen som oppdaget hendelsen, klassifisere alene under stress. Vurder klassifiseringen sammen, eller med en forhåndsdefinert sjekkliste.

3. Inneslutte. Målet er å stoppe spredning og videre skade. Konkret kan det bety å isolere en infisert maskin fra nettet, sperre en kompromittert konto, eller midlertidig stenge en tjeneste. Dette er typisk det mest tidskritiske steget.

Forhåndsdefiner hvem som har myndighet til å gjøre hva. Hvis ingen tør å koble en server fra nettet uten daglig leders godkjenning, og daglig leder sitter i et møte, så har dere et problem. Skriv det ned: «Teknisk vakthavende kan isolere endepunkter umiddelbart uten godkjenning. Stenging av kundetjeneste krever beslutning fra X eller Y.»

4. Respondere. Her gjøres det grundige arbeidet: utbedring, kommunikasjon med berørte, vurdering av om GDPR-varsling utløses, og forberedelse av NIS2-varsling hvis dere er omfattet. Det er ofte her ekstern bistand kommer inn, fra IR-leverandør, juridisk eller PR.

Sørg for at logger og bevis sikres før dere går for hardt til verks. Vanlig feil: gjenoppstart av en kompromittert maskin sletter forensisk informasjon som ville vært nyttig i etterforskningen.

5. Gjenopprette. Tilbake til normal drift, men ikke for raskt. Verifiser at trusselen faktisk er ute før dere kobler systemer tilbake. Backup-gjenoppretting er ofte en del av dette steget, og det er her dere oppdager om backup-rutinene faktisk fungerer slik dere trodde.

Mange SMBer har backup, men har aldri testet en faktisk gjenoppretting under tidspress. Den testen bør være en planlagt øvelse, ikke en hendelse.

6. Evaluere. Innen 1–2 uker etter at hendelsen er lukket: hold et kort post-incident review. Hva skjedde, hva fungerte, hva fungerte ikke, hva endrer vi. Skriv det ned. Selv en halvside er bedre enn ingenting. Dette er ikke et skjema for skjemaets skyld – det er dokumentasjonen som viser at dere oppfyller Artikkel 21(2)(f) om å vurdere effektiviteten av sikkerhetstiltakene.

Vanlig feil: evalueringen blir aldri gjort fordi alle er glade for at det er over. Sett av tid i kalenderen før hendelsen er lukket.

Roller og eskalering

En vanlig misforståelse er at man trenger en stor stab for å definere roller. En treperson-modell holder for de fleste SMBer:

  • Teknisk ansvarlig tar imot varsler, klassifiserer i første runde og igangsetter umiddelbare inneslutningstiltak. Ofte IT-sjef eller en ekstern driftspartner.
  • Beslutningstaker godkjenner større tiltak: stenging av tjeneste, ekstern kommunikasjon, kontakt med myndigheter. Vanligvis daglig leder eller dennes stedfortreder.
  • Kommunikasjonsansvarlig snakker med kunder, ansatte, eventuelt presse. Kan være daglig leder selv i en liten virksomhet, men rollen må være eksplisitt.

Skriv ned hvem som har hvilken rolle, og hvem som tar over når primærpersonen er utilgjengelig. Trivielt på papiret, kritisk i praksis. Eskaleringsveien fra teknisk varsel til ledelsesbeslutning skal være kjent før hendelsen, ikke improvisert under press.

NSM, sektormyndighet og eventuelt politiet kommer inn på beslutningstakerens initiativ. Ha telefonnummer og kontaktveier dokumentert et sted som ikke ligger på det systemet som kan bli rammet. En kontaktliste som bare finnes i SharePoint, hjelper lite hvis SharePoint er det som er nede.

Deteksjonsevner som er realistiske for en SMB

Dere trenger ikke et Security Operations Center. Det dere trenger, er et minimum av deteksjon som faktisk fanger noe. For en SMB betyr det typisk fire komponenter.

EDR på endepunkter – moderne sikkerhetsprogramvare med atferdsbasert deteksjon, ikke bare signaturer. Microsoft Defender for Endpoint, CrowdStrike, SentinelOne eller tilsvarende, konfigurert til å varsle riktig sted. Sentralisert logging – logger fra endepunkter, brannmur og identitetsleverandør (typisk Microsoft 365 / Entra ID), samlet på ett sted med minst 90 dagers oppbevaring. Mange skyløsninger har dette innebygd. Varsling fra kritiske leverandører – skytjenester, betalingsleverandører, hosting. Sørg for at dere er på riktige varslingslister og at varslene faktisk når en menneskelig leser. Brukerrapportering – som nevnt, én tydelig kanal og opplæring i å bruke den.

Fullskala overvåking er en tjeneste de fleste SMBer kjøper, ikke bygger. Managed Detection and Response (MDR) er et velegnet kjøp hvis budsjettet tillater det. Det er ikke et krav under NIS2 å ha MDR, men det er en effektiv måte å oppfylle deteksjonsdelen av Artikkel 21(2)(b) på.

Øvelser og evaluering

NIS2 krever ikke eksplisitt at dere skal kjøre øvelser, men Artikkel 21(2)(f) krever at dere vurderer effektiviteten av sikkerhetstiltakene. Den vurderingen forblir teoretisk hvis ingen har testet planen.

En tabletop exercise er den billigste og mest effektive øvelsen for en SMB: et bordøvelse der dere snakker dere gjennom et fiktivt scenario. To timer, fire–fem deltakere, ett konkret scenario, for eksempel «en ansatt har klikket på phishing-lenke og kontoen er kompromittert». Stopp opp ved hvert steg og spør: hva gjør vi nå, hvem ringer hvem, hvor finner vi informasjonen.

Målet er ikke å løse hendelsen perfekt. Målet er å finne hullene. Etter øvelsen skriver dere ned hva som ikke fungerte, og oppdaterer planen. Én øvelse i året er et realistisk minimum.

Forholdet til rapporteringskravene

Hendelseshåndtering og hendelsesrapportering er to forskjellige plikter under NIS2. De er lette å blande fordi varsling typisk skjer som en del av responssteget. Artikkel 23 setter fristene 24 timer for tidlig varsel, 72 timer for oppdatert vurdering og én måned for sluttrapport regnet fra 72-timers-oppdateringen. Digitalsikkerhetsforskriften § 17 har egne frister for tilbydere av samfunnsviktige tjenester i Norge i dag: 24 timer, 72 timer, og én måned regnet fra det første 24-timers-varselet – en nyanse i fristberegningen som er verdt å merke seg. Det norske regulatoriske bildet er forklart nærmere i guiden om digitalsikkerhetsloven og NIS2, og detaljer om varslingsplikten finnes i hendelsesrapportering-guiden.

Kom i gang: praktiske første steg

Hvis dere skal gjøre én ting i uken de neste 30 dagene, gjør disse:

  1. Uke 1: Etabler én varslingskanal. Opprett en delt mailboks eller Teams-kanal for hendelsesvarsler, og informer alle ansatte om hvor de melder mistenkelig aktivitet.
  2. Uke 2: Skriv ned roller. Ett A4-ark med teknisk ansvarlig, beslutningstaker, kommunikasjonsansvarlig, og stedfortredere. Lagre det et sted som ikke ligger på systemet som kan bli rammet.
  3. Uke 3: Definer tre klassifiseringsnivåer. Lav, middels, høy, med konkrete eksempler og hva som utløser eskalering til ledelsen.
  4. Uke 4: Kjør en to-timers tabletop. Velg ett scenario, samle de fire–fem som vil bli involvert i en faktisk hendelse, og snakk dere gjennom syklusen steg for steg. Skriv ned hva som ikke fungerte.

Når dette er på plass, har dere mer hendelseshåndtering enn de fleste norske SMBer. Resten – MDR, formelle prosedyrer, integrasjon mot leverandører – er forbedring fra et fungerende utgangspunkt, ikke fra null.

Usikker på hvor godt hendelseshåndteringen deres står seg mot kravene i Artikkel 21? Kravklars egenvurdering går gjennom alle ti minimumstiltakene i NIS2 og gir dere en konkret tilstandsrapport på under en time, med prioriterte tiltak å starte med. Grunnleggerprisen på 490 kr/mnd gjelder for et begrenset antall virksomheter.