Skip To main content
is/en

Hvernig villuveiðigáttir hjálpa þér að uppfylla NIS2

Ný tilskipun Evrópusambandsins um net- og upplýsingaöryggi, NIS2, er yfirvofandi og gerir auknar kröfur til mikilvægra og nauðsynlegra aðila um netöryggi, áhættustýringu og upplýsingagjöf. Fyrirtæki sem falla undir tilskipunina þurfa nú að sýna fram á aukna öryggisvitund, skilvirkari viðbragðsáætlanir og betri stjórn á veikleikum. Ein skynsamleg og hagkvæm leið til að ná þessum markmiðum er með villuveiðigáttum og stefnu um ábyrga upplýsingagjöf öryggisveikleika (e. coordinated vulnerability disclosure).

NIS2 leggur áherslu á stjórnun veikleika

Í NIS2 kemur hugtakið „samræmd upplýsingagjöf um veikleika“ (CVD) fyrir ellefu sinnum í opinberu skjali tilskipunarinnar, sem undirstrikar hversu mikilvæg meðhöndlun veikleika er orðin í opinberri stefnu. Aðildarríki og tilgreindir aðilar bera nú ábyrgð á að skrá, meta og miðla upplýsingum um veikleika á skipulagðan hátt. Þar að auki kveður tilskipunin á um stofnun evrópsks gagnagrunns um veikleika – og setur þannig ramma um kerfisbundna vinnu á þessu sviði.

Villuveiðigáttir og ábyrgar upplýsingaleiðir

Villuveiðigáttir (e. bug bounty platforms) er hugbúnaður sem gera fyrirtækjum kleift að nýta sér sérfræðiþekkingu heiðarlega hakkara til að finna og tilkynna veikleika. Þegar villuveiðigátt er stýrt af sérhæfðu teymi, eins og hjá Defend Iceland, er tryggt að allir tilkynntir veikleikar séu flokkaðir, metnir og nákvæmar skýrslur séu útbúnar ásamt leiðbeiningum um úrbætur. Þetta er í beinu samræmi við NIS2-kröfur um öfluga stjórnun veikleika og sýnir fram á að viðkomandi aðili sé með skýrar verklagsreglur og viðbragðsáætlun.

Styður við áhættustýringu og meðhöndlun atvika

Ein af meginkröfum NIS2 er að aðilar hafi virka áhættustýringu og skýrt verklag fyrir meðhöndlun öryggisatvika. Villuveiðigáttir styðja við þetta með því að:

  • Bera kennsl á veikleika áður en þeir eru nýttir af meinfýsnum netárásar aðilum.

  • Styðja við hraðari viðbrögð með rauntímaupplýsingum.

  • Eiga í samstarfi við ytri sérfræðinga sem styrkja innri teymi fyrirtækja.

Þetta eykur ekki aðeins netöryggisþroska heldur flýtir einnig fyrir samræmi við tilkynningarskyldur NIS2, t.d. innan 24 klst fyrir fyrstu viðvörun og innan 72 klst. fyrir atvikaskýrslu.

Miðlun upplýsinga um ógnir og innri þekkingaruppbygging

Ein af áherslum NIS2 er miðlun upplýsinga um ógnir milli aðila. Villuveiðigáttir safna dýrmætum gögnum sem hægt er að nýta bæði innanhúss til þekkingaruppbyggingar og sameiginlega með CSIRT- eða ISAC-teymum í viðkomandi iðnaði. Þetta skapar sterkara samfélag og dregur úr líkum á alvarlegum atvikum.

Stuðningur við stjórnunar- og skýrslugerð

NIS2 krefst þess að stjórnendur beri aukna ábyrgð á netöryggi fyrirtækisins. Villuveiðigáttir gera stjórnendum kleift að:

  • Sýna hagsmunaaðilum fram á fyrirbyggjandi öryggisstefnu.

  • Framvísa reglubundnum niðurstöðum um veikleikagreiningu og viðbrögð.

  • Uppfylla skýrslugerðar- og skjalaskyldu NIS2 um netógnir og atvik.

Hvernig getur Defend Iceland aðstoðað?

Defend Iceland býður heildstæða öryggisþjónustu sem styður við samræmi við NIS2:

  • Villuveiðigáttir sem eru sérsniðnar fyrir fyrirtæki, með faglegri meðhöndlun tilkynninga, úttektum og tillögum um úrbætur.

  • CVD (Coordinated vulnerability disclosure policy) sem styður við upplýsingamiðlun við birgja og þriðja aðila.

  • Stöðug öryggisprófun sem styður við kröfur um áframhaldandi áhættustýringu.

Við hjálpum fyrirtækjum að byggja upp öruggari stafrænan rekstur og uppfylla kröfur tilskipunarinnar á skilvirkan og hagkvæman hátt.

Hafðu samband við okkur til að kanna hvernig villuveiðigátt Defend Iceland getur stutt við öryggisstefnu þína og tryggt samræmi við NIS2.

Aðrar fréttir

Sjá allar fréttir

How I found all corporate usernames in Iceland

One of my favorite methods to gain initial access to companies is finding valid credentials. If your target is just one employee, this might be near impossible. But what if you have hundreds, or even thousands of targets? What if the target victim is anyone in Iceland? Then gaining valid credentials goes from near impossible to near certain.
Lesa meira

When Retired Domains Come Back to Haunt: The Hidden Risk of Legacy Corporate Assets

Organizations evolve through mergers, acquisitions, and rebranding. Old domains get retired, but what happens when those domains can still receive password resets or act as the login email for third-party services for the previous owner? This post reveals an overlooked vulnerability we've seen through Defend Iceland's bug bounty platform: expired corporate domains that remain deeply embedded in third-party SaaS accounts. When these domains become available for registration, attackers can inherit access to SaaS accounts that still use the retired email domain for login or recovery. We'll show you exactly how this happens and why "just let it expire" is a dangerous domain retirement strategy.
Lesa meira

XSS Beyond the Perimeter: When Internal Systems Become Attack Surfaces

Cross-site scripting (XSS) is often treated as a problem that ends at the public perimeter. In reality, customer input does not stop at the landing page. It flows into CRMs, ticketing consoles, and internal dashboards that may never have faced a penetration test. This walkthrough, based on real reports to Defend Iceland, shows how a harmless contact form can compromise the helpdesk staff who read it. To illustrate the chain end to end, we built a Netbankinn-themed lab that mirrors what we see in production environments. The public site is squeaky clean. The internal system is not,
Lesa meira

Where Unicode Collation Meets Punycode Domains: A Zero-Click Account Takeover

This post explains a subtle Unicode/Punycode pitfall that can appear in modern authentication flows. It highlights how a normalization mismatch enabled a zero‑click account takeover (ATO) scenario and how to remediate it safely. This vulnerability was reported through Defend Iceland's bug bounty platform, affecting one or more customers. The independent security research surfaced a subtle authentication quirk worth sharing with the broader community. For engineers, it's a clear lesson about the intersection of database collation and internationalized domains creating unexpected attack vectors.
Lesa meira

404 Villa Happy Hour Fannst ekki!

Defend Iceland býður í Happy Hour með netöryggis- og varnarmála ívafi í samstarfi við miðstöð stafrænnar nýsköpunar (EDIH-IS) og Rannís. Viðburðurinn er opinn öllum sem hafa áhuga en skráning er nauðsynleg.
Lesa meira

Guðmundur Fertram fjárfestir í Defend Iceland

Við hjá Defend Iceland erum stolt af því að tilkynna nýja fjárfestingu frá fjárfestingafélagi í eigu Guðmundar Fertrams Sigurjónssonar, stofnanda Kerecis, og fjölskyldu hans. Með þessari fjárfestingu styðja þau við framtíðarsýn okkar um öruggara stafrænt samfélag með þróun á villuveiðigátt okkar og öðrum lausnum
Lesa meira
Tilkynna veikleika

Þessi vefsíða notar vefkökur (e. cookies) til að bæta upplifun notenda af síðunni.