05. september 2023
I takt med at teknologi udvikler sig med lynets hast, og digitalisering fylder mere og mere, kommer cyber- og informationssikkerhed højere op på dagsordenen hos danske virksomheder – og det vil kun fortsætte. For som virksomhed er og bliver cyber- og informationssikkerhed forretningskritisk. Og til oktober næste år bliver en lang række virksomheder og organisationer omfattet af det nye NIS2 (net- og informationssikkerhedsdirektivet), som skal være med til at beskytte virksomheden selv, dens omverden og kunderne.
Det er meningen, at NIS2 skal sikre, at cyber- og informationssikkerhed på tværs af EU foregår på de samme præmisser – det vil sige, at direktivet opstiller en række minimumsforpligtelser for risikostyring, rapportering og hændelseshåndtering. NIS2-direktivet adskiller sig fra det oprindelige NIS, der kom i 2016, og derfor er det ifølge Majken Prip, der er konsulent hos Dansk Standard, vigtigt, at virksomheder og organisationer sætter sig ind i, hvad det helt konkret kommer til at betyde for dem hver især.
- Det første direktiv var ikke implementeret ens på tværs af medlemslandene. Virksomhederne, som var omfattet dengang, stod derfor overfor vidt forskellige krav alt afhængigt af land, hvilket ikke var i overensstemmelse med direktivets oprindelige formål. Håbet er, at det nye direktiv strømliner kravene, samtidig med at det giver et større fokus på forsyningskæder, leverandørforhold og ledelse, forklarer hun.
Netop forsyningskæder og dermed leverandører kommer i fokus, og det er én af grundene til, at direktivet omfatter flere virksomheder end før – fordi virksomheder med kritisk infrastruktur vil skulle stille de samme krav til sine leverandører, som de selv er underlagt.
- Nogle virksomheder kan sagtens være gode til cyber- og informationssikkerhed allerede, mens andre kan være helt grønne. Helt grundlæggende vil det betyde ret store forandringer for rigtig mange virksomheder og organisationer, fordi NIS2-direktivet stiller mere omfattende og mere specifikke krav end før, siger Majken Prip og understreger, at selvom mange virksomheder allerede arbejder med cyber- og informationssikkerhed, så vil det sandsynligvis skulle sættes mere i system, og der skal skabes klare processer – for det er primært her, kravene ligger.
Et sted, hvor man har god erfaring med netop dét, er Københavns Lufthavne, hvor IT Compliance Manager, Mette Andreasen, har været bannerfører for både det oprindelige NIS-direktiv, og nu er i gang med forberedelserne til NIS2.
- For os bliver det ikke et kæmpe skridt at gå fra NIS til NIS2. Jeg forstår godt, hvis nogen ser lidt vilde ud i øjnene, når de får at vide, at de skal underlægges sådan et direktiv – det gjorde vi da også første gang – men det giver god mening. Det er ”bare” mere af det, vi allerede gør, og nu skal vi tilbage og besøge risikovurderinger og kritikalitetsvurderinger for at se, hvor meget bredere vores scope skal være, fortæller hun
I lufthavnen har man især lænet sig op ad standarder, som har hjulpet gevaldigt med at finde hoved og hale i de komplekse krav. Og det giver god mening ifølge Majken Prip fra Dansk Standard.
- Standarder er et rammeværktøj, der netop kan hjælpe med at strukturere de processer, der er nødvendige for at imødekomme visse krav i NIS2-direktivet, men også til at sikre, at virksomheder er på forkant med sikkerhedsarbejdet ift. at modstå eventuelle cyberangreb, siger hun.
I Københavns Lufthavne har de eksempelvis brugt ISO/IEC 27001, som er en international, anerkendt standard for ledelsessystemer og cyber- og informationssikkerhed.
- Det er et rigtig godt værktøj til at definere størrelsen på NIS-opgaven. Vi forbereder os på NIS2 ved at genbesøge det certifikat, vi fik i første omgang, som var afgrænset til én del af organisationen, og så genbesøger vi overblikket over risici, kritiske processer, systemer og aktiver og sørger for, at hele vores ledelsessystem bliver opdateret med de nye tiltag. På den måde skaber vi balance mellem lovkrav, risici og det, vi implementerer. Det skulle vi også gøre uden NIS2, fordi standarden stiller krav om løbende forbedringer også ift. efterlevelse af nye lovmæssige eller regulatoriske krav, forklarer hun.
En mere simpel måde at forklare en standard på er at kalde den en ’opskrift’,” påpeger hun.
- Standarden hjælper os helt ned på et step by step-format. Der er et hav af krav i direktivet, men standarden består af mere end 90 mitigerende foranstaltninger, som man kan lægge ned over de risici, man har identificeret. Så det er essentielt set en opskrift på, hvordan man kan tilgå det. Hvis man holder tungen lige i munden, så bliver det meget komplekse noget mindre komplekst med standarden i hånden, siger Mette Andreasen.
En anden vigtig pointe, når det kommer til komplekse direktiver og stramme lovkrav, er, at man skal huske sig selv på, hvorfor man som virksomhed er underlagt disse regler – for det er i sidste ende for alles skyld. Og derfor skal man have hele virksomheden med på vognen, ifølge Majken Prip.
- Det er afgørende, at cyber- og informationssikkerhed bliver koblet til forretningsmålene, og alle skal forstå, hvorfor man bruger penge og ressourcer på det. Det hele er vigtigt i forhold til, hvad man så gør, når uheldet rammer. Ledere skal i gang med at sætte sig ind i, hvilke risici de står overfor - det er et krav i direktivet, at ledelsen tager stilling og har de nødvendige kompetencer hertil, siger hun.
Og Mette Andreasen, er helt enig i den tilgang til sikkerheden og direktivet generelt.
- Man kan enten se NIS2 som et vilkår på baggrund af en lovtekst, som vi bliver dikteret - eller man kan konstatere at cyber- og informationssikkerhed er supervigtigt for os alle, og det i virkeligheden er på baggrund af sund fornuft, at vi skal indføre det. For selvfølgelig skal vi passe på vores data, og selvfølgelig skal vi have relevante foranstaltninger på plads – ellers kan vi ikke stå inde for en stabil drift. Og det, håber jeg, er det, som NIS2 kan hjælpe andre organisationer med, siger hun og slutter:
- Det hele skal give mening. Og det her direktiv giver rigtig god mening. Det er en løftestang for hele nationen for at få hævet cyber- og informationssikkerheden.
Du kan høre mere om NIS2, og hvordan man bedst forbereder sig på direktivet til DS Cyberdag den 5. oktober.
Se eller gense dette webinar, hvor du kan høre mere om behovet for at adressere og systematisere arbejdet med de digitale risici, som er opstået i takt med den øgede digitalisering og de dertilhørende cybertrusler.
Den internationale vejledende standard til vurdering og håndtering af risici inden for informationssikkerhed, ISO/IEC 27005, som sidste år udkom i en ny version, kommer nu i dansk oversættelse. Standarden kan hjælpe virksomheder med at leve op til...
DKCERT har netop udgivet sin årlige trendrapport med fokus på cyberspionage og -aktivisme. Her kan man bl.a. læse om tendenser indenfor cybersikkerhed samt om nye indsatser, der præger alle sektorer i disse år, som fx informationssikkerhedsstandar...
Se eller gense dette webinar, hvor du får inspiration til, hvordan du kan blive klar til NIS2 med standarder inden for cyber- og informationssikkerhed.
