Slik forbereder norske SMB-er seg på NIS2
Praktiske compliance-steg for det nye EU-direktivet, hva du bør gjøre nå, og hva som kan vente.
NIS2 utvider hva som regnes som “vesentlige” og “viktige” virksomheter, og strammer inn fristen for hendelsesrapportering. De fleste norske SMB-er vi snakker med er usikre på om de er innenfor virkeområdet. Her er en praktisk rekkefølge.
1. Avklar omfanget først
Før du bruker en eneste time på kontroller, bekreft om direktivet gjelder for din sektor og størrelse. Kriteriene er endret; mange virksomheter som var utenfor NIS1 er innenfor NIS2.
2. Kartlegg dagens tilstand mot Annex I
Annex I er kontrollbiblioteket ditt. Kjør en gap-analyse. De fleste ISO 27001-tilpassede organisasjoner er 60-70 % på vei.
3. Få incident-playbooken på plass
24-timers tidligvarslingen er den operative endringen med ekte konsekvenser. Hvis IR-runbooken din fortsatt måles i dager, fiks det først.
4. Dokumentér, ikke pynt på fasaden
Revisorer vil ha bevis på at kontrollene fungerer, ikke pene policydokumenter. Bygg dokumentasjonen som et biprodukt av arbeidet, ikke som et eget løp.
Hvis du bare skal gjøre én ting dette kvartalet: øv gjennom hele 24-timers varslingsflyten fra ende til ende, med de som faktisk skal være på vakt.
