Slik forbereder du kommunen din for NIS2

NIS2 gjør at kommuner og andre offentlige virksomheter må ta identiteter og tilgangsstyring mer på alvor enn noen gang. Samtidig er det ikke realistisk å møte nye krav med flere manuelle kontroller, flere Excel-lister og flere ad hoc-tilgangsbestillinger. Nøkkelen er å bruke Identity and Access Management (IAM) og automatisering til å bygge kontroll som faktisk fungerer i en hektisk hverdag, uten å knekke IT-avdelingen.

For norske kommuner betyr dette å utnytte koblingen mellom HR-system, Microsoft Entra ID, fagsystemer og eventuelle Feide- eller skoleløsninger. Når IAM-plattformen får HR som «source of truth» for ansettelsesforhold, roller og enheter, kan onboarding, rolleendringer og offboarding styres automatisk. Det gir både bedre sikkerhet, færre spøkelseskontoer og et mye mer solid utgangspunkt for å dokumentere etterlevelse av NIS2.

En god start er å forstå hva NIS2 faktisk sier om tilgangsstyring, identiteter og styring. Direktivet peker tydelig på behovet for klare prosesser, løpende risikovurderinger og mulighet til å vise hvem som har hatt hvilken tilgang når. Flere europeiske fagmiljøer peker eksplisitt på IAM som en av de viktigste brikkene for å få dette til. En nylig publisert gjennomgang beskriver blant annet hvordan direktivet utvider hvilke sektorer som omfattes, og skjerper krav til styre og ledelse. For nordiske virksomheter som vil forstå de konkrete tiltakene innen IAM, anbefaler vi å laste ned sjekklisten vår (gratis).

For kommuner som allerede har gjort en del når det kommer til informasjonssikkerhet, handler NIS2 ofte mer om å få helhet og systematikk enn å starte helt på nytt. Mange har allerede tekniske komponenter på plass som Entra ID, totrinnsbekreftelse, Feide, fagsystemer med egne brukerregistre, men mangler en felles plattform og felles prosesser. IAM og automatisering er limet som kan binde dette sammen, slik at man faktisk kan bevise overfor tilsyn og revisjon at man har kontroll på hvem som har tilgang til hva, når og hvorfor.

eADM er utviklet nettopp for å løse disse utfordringene for offentlige organisasjoner med mange integrasjoner, begrensede ressurser og stadig skjerpede krav. Ved å bruke eADM til å automatisere livssyklusen for identiteter, fra første dag i HR til kontoen deaktiveres og lisensene fjernes,  blir NIS2 et resultat av hvordan dere jobber til daglig, ikke et ekstra prosjekt ved siden av alt annet.

En effektiv NIS2-strategi for identiteter handler ikke bare om å «skru opp sikkerheten», men om å bygge en modell som tåler hverdagen i en norsk kommune. Første steg er å definere tydelige roller og eierskap:

• Hvem eier risikoen i de enkelte fagsystemene?

• Hvem er eier dataen?

• Hvem er systemeier?

Når disse rollene er på plass, kan dere etablere prinsipper for minstetilgang, segmentering og hvilke systemer som regnes som kritiske tjenester etter NIS2. Kritiske systemer – som sak/arkiv, helsesystemer og økonomi – bør ha strengere tilgangskontroller og hyppigere gjennomgang enn mer støttepregede løsninger.

Neste steg er å automatisere så mye som mulig av tilgangsstyringen. Ideelt sett starter alt i HR- eller personalsystemet. Når en ansatt opprettes eller får ny rolle, skal IAM-plattformen automatisk opprette, endre eller fjerne tilganger i Entra ID, AD, M365, fagsystemer og Feide der det er relevant. Gruppe- og rollebasert tilgang, kombinert med dynamiske grupper, gjør at en endring i stilling automatisk gir riktig tilgang, uten manuelle bestillinger og Excel-lister. Dette reduserer både risikoen for feil og antallet «spøkelseskontoer».

Like viktig er sporbarhet og revisjonsvennlige prosesser. Hver eneste tilgangsendring bør logges med hvem, hva, når og hvorfor. Her skiller en moderne IAM-plattform seg fra manuelle rutiner: den kan automatisk generere rapporter som viser hvem som har tilgang til hva, når tilganger sist ble gjennomgått, og hvilke tilganger som ble fjernet. Det gjør det langt enklere å dokumentere overfor tilsynsmyndigheter at kommunen faktisk lever etter NIS2-prinsippene.

For at NIS2-arbeidet ikke skal bli et evighetsprosjekt, lønner det seg å tenke i korte, konkrete løp. En 90-dagers plan gir fart uten å miste styring.

De første 30 dagene bør handle om kartlegging og forankring. Identifiser hvilke systemer som omfattes av NIS2, klassifiser dem etter kritikalitet, og lag en enkel oversikt over nåsituasjonen for identiteter og tilganger. Har dere et HR-system som kan være «source of truth»? Hvor mange systemer tildeler fortsatt brukere manuelt? I samme periode bør dere samle IT, HR, sikkerhet og representanter for nøkkelfagområder til en felles workshop der dere blir enige om prinsipper for roller, minstetilgang og tilgangsgjennomganger.

Dag 31–60 handler om å bygge og teste de første automatiseringsløpene. Start med én eller to kjerneintegrasjoner, typisk HR til Entra ID og videre til M365 og ett viktig fagsystem. Definer standardroller (for eksempel «saksbehandler helse», «saksbehandler oppvekst», «rådgiver økonomi») og knytt dem til grupper og lisenser. Sett opp en enkel, automatisert offboarding som deaktiverer kontoer, fjerner lisenser og varsler systemeiere. Kjør en pilot med et avgrenset antall brukere, og juster basert på erfaringer.

I siste fase, dag 61–90, skalerer dere opp og bygger inn styring og rapportering. Utvid integrasjonsflaten til flere fagsystemer, og ta i bruk automatiserte tilgangsgjennomganger for de mest kritiske applikasjonene. Her kan IAM-løsningen generere kampanjer der systemeiere regelmessig må godkjenne eller fjerne tilganger, og alle beslutninger logges for revisjon. Samtidig bør dere etablere KPI-er som «tid fra sluttmelding i HR til deaktivert konto», «andel automatiserte onboardinger» og «antall fjernede spøkelseskontoer». Med en slik plan blir NIS2 ikke bare et krav, men en drivkraft for en mer effektiv og tryggere digital hverdag i kommunen.

For inspirasjon til hvordan et slikt løp kan se ut i praksis, kan du se hvordan Identum og Elimity beskriver samspillet mellom IAM-automatisering og avansert tilgangsstyring i dette webinaret.