NIS2 och webbprojekt: säkerhet är inte bara en IT-fråga

NIS2 och webbprojekt: säkerhet är inte bara en IT-fråga

Jörgen Lindahl
Jörgen Lindahl Grundare
3 min läsning

Kort svar

NIS2 gjorde cybersäkerhet till en större lednings- och leverantörsfråga i EU. För webbprojekt betyder det att säkerhet inte kan behandlas som något som läggs på i slutet.

Webbplats, hosting, CMS, integrationer, API:er, formulär, behörigheter och loggning är alla delar av samma riskbild.

Vad är NIS2?

NIS2 är EU:s uppdaterade cybersäkerhetsdirektiv. Det ställer högre krav på säkerhet och incidenthantering för fler typer av verksamheter än tidigare.

Alla företag omfattas inte direkt. Men många påverkas indirekt genom kundkrav, leverantörskedjor och upphandlingar.

Om du bygger eller driver digitala tjänster åt en verksamhet med högre säkerhetskrav behöver du kunna svara på fler frågor än tidigare.

Varför spelar det roll i webbprojekt?

En webbplats är ofta mer än en publik broschyr. Den kan vara kopplad till:

  • CRM
  • formulärdata
  • e-handel
  • betalningar
  • bokningssystem
  • kundportaler
  • ERP
  • nyhetsbrevssystem
  • interna API:er

Det gör att en svag webbplats kan bli en väg in till känsligare delar av verksamheten.

Vanliga risker

För många plugins

Pluginbaserade CMS-lösningar kan fungera bra, men varje tillägg är också ett beroende. Om plugins inte underhålls ökar risken.

Otydliga behörigheter

Gamla användarkonton, delade inloggningar och för bred adminåtkomst är vanliga problem.

Brist på loggning

Om något händer behöver det gå att förstå vad som hänt. Saknas loggar blir incidenthantering svag.

Integrationer utan felhantering

Många integrationer fungerar så länge allt går rätt. Men när ett API ändras, en token löper ut eller dataformatet skiftar behöver lösningen kunna hantera fel.

Oklart leverantörsansvar

Vem ansvarar för hosting, uppdateringar, backup, incidenter och återställning? Om det är oklart blir problemen större när något händer.

Vad bör ingå i ett säkrare webbprojekt?

Säker teknikgrund

Välj plattform utifrån behov och risk. För vissa företag är en statisk frontend med separat CMS en bättre säkerhetsgrund än en traditionell monolit med många plugins.

Det betyder inte att WordPress alltid är fel. Det betyder att underhåll och ansvar måste vara tydligt.

Tydlig accesshantering

Se över:

  • vem som har adminåtkomst
  • om tvåfaktorsautentisering används
  • hur externa leverantörer får åtkomst
  • hur gamla konton tas bort
  • hur lösenord och nycklar hanteras

Backup och återställning

Backup är inte klar förrän återställning är testad. Det gäller särskilt e-handel och webbplatser med formulärdata.

Loggning och övervakning

Miniminivån bör vara att kritiska fel och integrationsproblem går att upptäcka snabbt.

Leverantörsfrågor

Fråga webbleverantören:

  1. hur hanteras uppdateringar?
  2. var hostas lösningen?
  3. hur tas backup?
  4. hur hanteras incidenter?
  5. vilka externa tjänster används?
  6. hur hanteras API-nycklar?
  7. finns dokumentation?

NIS2 och integrationer

Integrationer är särskilt viktiga eftersom de flyttar data mellan system.

En robust integration behöver:

  • tydlig datamodell
  • säker autentisering
  • loggning
  • felhantering
  • retry-logik där det behövs
  • begränsad åtkomst
  • dokumentation

Det är ofta här skillnaden mellan en snabb koppling och en driftbar integration märks.

Sammanfattning

NIS2 gjorde säkerhetsfrågan svårare att skjuta åt sidan. Även företag som inte omfattas direkt kan påverkas genom kundkrav och leverantörsled.

För webbprojekt betyder det att säkerhet, drift och integrationer behöver planeras från början. Inte för att göra projektet tungt, utan för att slippa dyra och riskabla efterhandslösningar.

Vill du bygga eller förbättra systemkopplingar med bättre kontroll? Läs mer om våra integrationer eller vår roll som webbkonsult.

Källa: MSB om NIS2-direktivet.

Säkerhet NIS2 Integrationer
Tillbaka till bloggen

Har du ett projekt i tankarna?

Vi hjälper dig att ta nästa steg. Kontakta oss för en kostnadsfri konsultation.

Kontakta oss