NIS2 Riskbedömning: Ett strukturerat ramverk för att identifiera och prioritera dina cyberluckor

NIS2 Artikel 21 föreskriver att väsentliga och viktiga enheter ska anta en riskbaserad strategi för cybersäkerhet. Men direktivet föreskriver inte någon specifik metod. Organisationer måste välja och implementera ett ramverk som är lämpligt för deras storlek, exponering och sektor. I denna vägledning presenteras en strukturerad metod i sex steg i linje med ISO 27005:2022 (Riskhantering för informationssäkerhet) och ENISA:s vägledning, skräddarsydd för organisationer som omfattas av NIS2.

Varför ett strukturerat ramverk är viktigt

Ad hoc-säkerhetsåtgärder, hur välmenande de än är, uppfyller inte NIS2-standarden. Enligt artikel 21 skall åtgärderna vara lämpliga och proportionerliga, vilket innebär att det skall finnas en dokumenterad motivering till varje säkerhetsbeslut. En strukturerad ram för riskbedömning ger denna motivering. Det säkerställer att resurserna fördelas till de risker som har störst inverkan, att ledningen medvetet accepterar kvarvarande risker och att efterlevnaden kan visas för tillsynsmyndigheterna.

Det ramverk som presenteras här följer sex sekventiella steg. Varje steg ger dokumenterade resultat som används i nästa steg, vilket skapar en heltäckande och reviderbar riskhanteringsprocess.

Steg 1: Identifiering och värdering av tillgångar

Innan du kan bedöma risken måste du veta vad du skyddar. Tillgångsidentifiering skapar en omfattande inventering av informationstillgångar, nätverks- och informationssystem och stödjande infrastruktur inom ditt NIS2-scope.

Kategorier av tillgångar som ska inventeras:

• Informationstillgångar: kunddatabaser, immateriella rättigheter, personalregister, finansiella data, operativa data
• Hårdvarutillgångar: servrar, arbetsstationer, nätverksutrustning, IoT-enheter, mobila enheter
• Programvarutillgångar: operativsystem, applikationer, middleware, firmware
• Nätverkstillgångar: LAN/WAN-infrastruktur, brandväggar, VPN, molnanslutning
• Tjänstetillgångar: molntjänster, SaaS-plattformar, managed services, API:er från tredje part
• Personal: nyckelroller och deras behörighetsnivåer

Varje tillgång bör värderas utifrån hur kritisk den är för verksamheten och hur känsliga de data är som den innehåller. ISO 27005 rekommenderar att man tilldelar ett värde för verksamhetspåverkan (t.ex. låg, medel, hög, kritisk) baserat på de potentiella konsekvenserna av att sekretess, integritet och tillgänglighet äventyras.

Steg 2: Hotbildsanalys

Hotanalysen identifierar de potentiella källor och händelser som kan äventyra dina tillgångar. Hoten kan kategoriseras som:

• Avsiktligt: riktade cyberattacker, utpressningstrojaner, insiderhot, spionage, hacktivism
• Oavsiktlig: mänskliga fel, felkonfigurationer, programvarubuggar, hårdvarufel
• Miljö: naturkatastrofer, strömavbrott, störningar i leveranskedjan

Använd källor för hotinformation för att kalibrera din analys. ENISA publicerar en årlig rapport om hotbilden som identifierar de största hoten mot europeiska organisationer. Branschspecifika ISAC (Information Sharing and Analysis Centres) tillhandahåller branschrelevanta underrättelser. I din analys bör du ta hänsyn till både sannolikheten för varje hot och kapaciteten hos relevanta hotaktörer.

Steg 3: Sårbarhetsbedömning

Sårbarhetsbedömningen identifierar de svagheter i dina system, processer och kontroller som kan utnyttjas av de hot som identifierades i steg 2. Detta inkluderar:

• Tekniska sårbarheter: opatchad programvara, svaga konfigurationer, öppna portar, avsaknad av kryptering
• Organisatoriska sårbarheter: otillräckliga säkerhetspolicyer, otillräcklig utbildning, oklara ansvarsförhållanden
• Fysiska sårbarheter: otillräcklig åtkomstkontroll, bristande miljöskydd
• Sårbarheter i leveranskedjan: tredjepartsprogramvara som inte har godkänts, osäkra API:er, svaga säkerhetsrutiner hos leverantörer

Automatiserade verktyg för sårbarhetsskanning utgör en baslinje, men de måste kompletteras med manuell testning (penetrationstestning) och processgranskning. I artikel 21.2 e i NIS2 krävs särskilt kapacitet för hantering och offentliggörande av sårbarheter.

Steg 4: Konsekvensanalys

För varje rimligt hot-sårbarhetspar ska du bedöma den potentiella effekten om risken realiseras. Konsekvenserna bör utvärderas utifrån flera dimensioner:

• Operativ påverkan: avbrott i tjänsten, återhämtningstid, förlust av kritisk kapacitet
• Ekonomisk påverkan: direkta kostnader (incidenthantering, sanering), indirekta kostnader (förlorade intäkter, avtalsviten)
• Konsekvenser för lagstiftningen: NIS2-straff (upp till 10 miljoner euro eller 2 % av omsättningen för viktiga enheter), GDPR-böter om personuppgifter är inblandade
• Påverkan på anseendet: kundförtroende, exponering i media, konkurrenspositionering
• Säkerhetspåverkan: fysisk skada (relevant för hälso- och sjukvården, energisektorn och transportsektorn)

Använd en konsekvent skala för påverkan (t.ex. försumbar, mindre, måttlig, stor, katastrofal) med definierade kriterier för varje nivå. Detta säkerställer jämförbarhet mellan olika risker och stöder prioritering.

Steg 5: Utvärdering och prioritering av risker

Risk är en kombination av sannolikheten för att ett hot utnyttjar en sårbarhet och konsekvenserna om så sker. Använd en riskmatris för att plotta varje identifierad risk:

Risknivå = Sannolikhet x Konsekvens. Kategorisera risker som: Kritisk (omedelbara åtgärder krävs), Hög (åtgärder krävs inom en definierad tidsram), Medelhög (övervaka och planera åtgärder), Låg (acceptera eller övervaka).

Det är i riskbedömningssteget som ledningens ansvar enligt artikel 20 i NIS2 konkretiseras. Ledningsorganet måste granska och formellt godkänna riskbedömningen och acceptera kvarvarande risker med full medvetenhet om deras potentiella konsekvenser.

Steg 6: Planering av riskhantering

Välj ett behandlingsalternativ för varje risk som överstiger den riskaptit som organisationen har definierat:

• Begränsa: Implementera kontroller för att minska sannolikheten eller effekten (den vanligaste behandlingen)
• Överföra: Flytta risken till en tredje part, vanligtvis genom cyberförsäkring eller outsourcing till en specialistleverantör
• Undvika: Eliminera risken genom att avbryta den aktivitet som genererar den
• Acceptera: Medvetet acceptera risken där behandlingskostnaderna överstiger den potentiella effekten (måste dokumenteras och godkännas av ledningen)

För varje riskreducerande åtgärd ska du dokumentera den förväntade riskminskningen, tidsramen för genomförandet, ansvarig ägare och resurskrav. Detta blir din riskhanteringsplan, ett levande dokument som driver dina investeringar och prioriteringar inom cybersäkerhet.

Riskregistrets struktur

Riskregistret är den centrala artefakten i din riskbedömning. Det bör innehålla följande fält för varje identifierad risk:

• Risk-ID: Unik identifierare
• Tillgång: Den eller de tillgångar som är i riskzonen
• Hotet: Hotets källa och händelse
• Sårbarhet: Den svaghet som utnyttjas
• Befintliga kontroller: Åtgärder som redan finns på plats
• Sannolikhet: Bedömd sannolikhet (t.ex. skala 1-5)
• Påverkan: Bedömd konsekvens (t.ex. skala 1-5)
• Inherent risknivå: Före ytterligare behandling
• Behandlingsalternativ: Begränsa, överföra, undvika eller acceptera
• Planerade kontroller: Ytterligare åtgärder som ska genomföras
• Kvarstående risknivå: Efter planerad behandling
• Riskägare: Person som är ansvarig för att hantera denna risk
• Granskningsdatum: Nästa planerade omprövning

Anpassning till ISO 27005 och ENISA Guidance

Denna sexstegsmetodik är nära anpassad till ISO 27005:2022, som ger referensramen för riskhantering för informationssäkerhet inom ett ISO 27001-ledningssystem. Organisationer som strävar efter ISO 27001-certifiering kommer att upptäcka att en väl genomförd riskbedömning enligt denna metod uppfyller kraven i ISO 27001 paragraf 6.1.2.

Enisa har publicerat flera stödresurser, bland annat NIS2 Implementing Guidance och Interoperable Risk Management Framework. Dessa resurser tillhandahåller sektorsspecifika riskscenarier, hotkataloger och kontrollkartläggningar som kan användas för att påskynda din riskbedömning.

Kontinuerlig förbättring

En riskbedömning är inte en övning som görs vid en viss tidpunkt. I artikel 21.2 f i NIS2 krävs riktlinjer och förfaranden för att bedöma hur effektiva åtgärderna för hantering av cybersäkerhetsrisker är. Detta innebär följande:

• Omvärdera riskerna minst en gång per år och efter varje betydande förändring (nya system, organisationsförändringar, nya hot)
• Övervaka effektiviteten hos implementerade kontroller genom KPI:er och säkerhetsmätningar
• Genomför bordsövningar och simuleringar för att testa dina riskscenarier
• Regelbunden uppdatering av hotbildsinformation
• Rapportera resultaten av riskbedömningen till ledningen som en del av NIS2:s styrningscykel

En strukturerad, dokumenterad och regelbundet uppdaterad riskbedömning är inte bara en efterlevnadsövning. Det är grunden för ett effektivt cybersäkerhetsprogram som skyddar din organisation, dina kunder och din konkurrensposition i ett alltmer fientligt hotlandskap.