Mange små og mellomstore bedrifter tenker at compliance er noe store virksomheter driver med.
Det er en farlig forenkling.
Selv om en bedrift ikke er direkte omfattet av NIS2, kan den likevel få krav gjennom kunder, leverandører, forsikring, databehandleravtaler eller egne kontrakter. Og uansett regelverk kan driftsstans, datatap og sikkerhetsbrudd bli dyrt.
Compliance handler ikke bare om lover
Compliance betyr i praksis at virksomheten kan dokumentere at den jobber ryddig.
Det kan handle om:
- hvem som har tilgang til hva
- om backup fungerer
- om MFA er aktivert
- om ansatte får sikkerhetsopplæring
- om leverandører er dokumentert
- om risiko er vurdert
- om hendelser kan håndteres
- om personopplysninger behandles riktig
Dette er ikke bare papirarbeid. Det er driftssikkerhet.
Små bedrifter blir også rammet
Angrep og datatap bryr seg ikke om bedriften er liten.
En liten bedrift kan tåle driftsstans dårligere enn en stor. Hvis daglig leder samtidig må være prosjektleder, IT-ansvarlig, sikkerhetsansvarlig og dokumentasjonsansvarlig, blir risikoen fort høy.
Vår arbeidsmåte
Hos Trønder Data jobber vi med løpende kontroll og dokumentasjon.
Den årlige risikoanalysen er bare én del av dette. Dokumentasjon og vurderinger oppdateres også underveis når brukere, systemer, leverandører eller risiko endrer seg.
Én gang i året gjør vi en grundigere gjennomgang sammen med kunden.
NIS2 som målestokk
Ikke alle kunder er omfattet av NIS2 eller digitalsikkerhetsloven. Likevel bruker vi samme seriøse tilnærming.
Det betyr ikke at alle småbedrifter skal ha et tungt styringssystem. Det betyr at grunnleggende sikkerhet og dokumentasjon bør være på plass.
Praktisk minimum
En SMB bør minst ha kontroll på:
- backup
- MFA
- passord og kritiske tilganger
- endepunktsikring
- nettverk
- lisenser
- databehandleravtaler
- underleverandører
- hvem som gjør hva ved sikkerhetshendelse
Referanser
