Cloud Reference Architecture er nå oppdatert til v1.2 – nå med tydelig mapping til både NIS2-direktivet og NIS2 implementing regulation.
Markedsplassen for skytjenester (MPS) publiserer nå en oppdatert versjon av Cloud Reference Architecture (CRA) v1.2 – referansearkitekturen for skytjenester – med forbedret sporbarhet mot NIS2. I denne oppdateringen er mappingen strukturert slik at CRA-kravene nå har:
- egen kolonne for mapping til NIS2 Directive (artikler), og
- egen kolonne for mapping til NIS2 implementing regulation (Annex-kontroller)
Dette gjør det enklere å skille mellom “hva som kreves” (direktivet) og “hvordan det konkretiseres” (implementing regulation), og gir et mer praktisk grunnlag for anskaffelser, leverandørdialog og oppfølging i drift.
Hvorfor dette er viktig nå
Mange offentlige virksomheter står i en krevende situasjon: økende trusselnivå, flere leverandøravhengigheter og stadig strengere krav til styring, dokumentasjon og hendelseshåndtering. NIS2 forsterker forventningene til hvordan virksomheter arbeider med:
- styring og ansvar
- risikohåndtering og sikkerhetstiltak
- leverandør- og underleverandørkontroll
- logging, overvåking og hendelseshåndtering
- robusthet, kontinuitet og gjenoppretting
CRA er laget for å gjøre det enklere å omsette slike krav til konkrete og sammenlignbare kontraktskrav i skyanskaffelser.
Hva er Cloud Reference Architecture?
Cloud Reference Architecture (CRA) – referansearkitekturen for skytjenester – er et felles krav- og strukturgrunnlag for informasjonssikkerhet og personvern i offentlige skyanskaffelser. CRA er utviklet for å gi virksomheter et praktisk verktøy som kan brukes i hele livsløpet:
- planlegging og kravstilling
- konkurranse og evaluering
- leverandørdialog og kontraktsoppfølging
- revisjon og kontinuerlig forbedring
CRA bidrar også til å tydeliggjøre skillet mellom:
- sikkerhet av skyen (leverandørens ansvar), og
- sikkerhet i skyen (kundens bruk og konfigurasjon)
Erfaring + standarder: “praktisk og etterprøvbart”
CRA er:
- erfaringsbasert, med læring fra både norske og internasjonale skykontrakter
- utprøvd og forbedret gjennom MPS sine anskaffelser og rammeavtaler for skytjenester i offentlig sektor
- forankret i standarder og rammeverk, med formelle mappinger som gir sporbarhet og gjenbruk
CRA støtter også NSMs Grunnprinsipper, som er et sentralt verktøy for sikkerhet i offentlig sektor.
Hva er oppdatert i CRA v1.2 i dag?
I denne oppdateringen er mapping-tabellene forbedret slik at CRA-kravene nå kan spores tydeligere mot NIS2 gjennom:
1) Mapping til NIS2 Directive (artikler)
Denne kolonnen gir koblingen til overordnede krav og forventninger i direktivet, og er nyttig for compliance- og ledelsesforankring.
2) Mapping til NIS2 implementing regulation (Annex-kontroller)
Denne kolonnen gir koblingen til mer konkrete kontrollområder/tiltak, og er særlig nyttig for sikkerhetsfaglig oppfølging, evidens og revisjon.
Ved å skille disse i egne kolonner blir det enklere å bruke CRA i praksis – og å dokumentere hvordan skykravene støtter arbeidet med NIS2.
Hvordan kan CRA brukes i NIS2-arbeidet?
CRA kan støtte virksomheter som arbeider med NIS2 ved å:
- gi et standardisert kravgrunnlag som kan brukes i anskaffelser og avtaler
- gjøre det enklere å be om riktig evidens fra leverandører
- understøtte leverandørstyring og oppfølging av sikkerhet i drift
- bidra til mer effektiv revisjon og etterlevelsesdokumentasjon, gjennom sporbarhet til NIS2 og øvrige rammeverk
Hvor finner jeg CRA v1.2?
Cloud Reference Architecture (CRA) v1.2 er tilgjengelig på Markedsplassen for skytjenester (MPS).