NIS2-direktivet stiller krav til, at virksomheder og myndigheder tager ansvar for deres cybersikkerhed ved at implementere tekniske og organisatoriske foranstaltninger, der kan håndtere de risici, som truer deres systemer. Samtidig indfører direktivet strenge krav til ledelsesansvar og forsyningskædesikkerhed i de omfattede sektorer.
Herunder får du en kort gennemgang af de punkter, organisationen skal igennem for at sikre NIS2-compliance. Med det rette mindset bliver det ikke bare en regulativ forpligtelse, men en mulighed for at evaluere eksisterende sikkerhedsforanstaltninger og udvikle en stærk sikkerhedskultur på tværs af hele organisationen.
NIS2-compliance starter hos ledelsen
NIS2-compliance begynder med ledelsens aktive engagement og forankring i organisationens cybersikkerhedsstrategi, der bør prioriteres som en central del af virksomhedens drift og langsigtede mål. Det betyder, at ledelsen skal sikre, at risici identificeres og håndteres proaktivt, at der allokeres de nødvendige ressourcer, og at der skabes en kultur, hvor cybersikkerhed er en integreret del af alle beslutningsprocesser.
For at understrege vigtigheden af det ledelsesmæssige ansvar fastslår NIS2-direktivet, at den øverste ledelse kan holdes personligt ansvarlig for, om organisationen efterlever kravene i NIS2. Hvis en organisation ikke lever op til direktivet, kan konsekvenserne omfatte bøder, tab af ret til at besidde en ledelsesmæssig stilling og i værste fald juridisk ansvar for individuelle bestyrelsesmedlemmer.
Udover det ledelsesmæssige ansvar stiller NIS2-direktivet krav til organisationens tekniske og organisatoriske foranstaltninger – blandt andet:
- Incident management (hændelseshåndtering)
- Backup og krisehåndtering
- Forsyningskædesikkerhed
- Medarbejderuddannelse
- Politikker for kryptering
LÆS OGSÅ: NIS2-krav: Hvilke krav indeholder NIS2-direktivet?
Risikovurdering af kritiske aktiver
Med ledelsens opbakning på plads er første skridt at identificere organisationens kritiske aktiver for at kunne udføre en effektiv risikovurdering. Det er vigtigt at tænke bredt og overveje alt fra data og processer til hardware, software, medarbejdere og lokationer.
Når de kritiske aktiver er defineret, skal potentielle trusler identificeres og vurderes ud fra sandsynligheden for, at de bliver til en realitet samt de mulige konsekvenser. Afhængigt af risikoniveauet skal der iværksættes passende foranstaltninger med ledelsens strategiske retning som ramme for de mitigerende tiltag.
Gap-analyse og handlingsplan
Når risikovurderingen er gennemført, er næste skridt at udføre en gap-analyse, der kan identificere forskelle mellem organisationens nuværende sikkerhedsforanstaltninger og de krav, der stilles i NIS2-direktivet. Gap-analysen er en systematisk sammenligning af organisationens kontroller og politikker med NIS2, og fremgangsmåde kan eksempelvis være:
- Identificering af kravene i NIS2
- Kortlægning af eksisterende kontroller
- Sammenligning og identificering af gaps
- Prioritering af gaps
- Udarbejdelse af handlingsplan
Handlingsplanen bør tage udgangspunkt i et klart og realistisk ambitionsniveau for cybersikkerhed, der afspejler organisationens risikoprofil, teknologiske kapacitet og de specifikke udfordringer, den står overfor. Det er desuden vigtigt at være opmærksom på, at gap-analysen ikke er en engangsopgave, men en løbende proces, der skal gentages, efterhånden som organisationens risikobillede ændrer sig.
Tænk NIS2 ind i det eksisterende compliancearbejde
En effektiv implementering af NIS2-direktivet kræver en integreret tilgang, hvor de nye krav tænkes ind i organisationens eksisterende compliancestrukturer og -processer. Mange organisationer har allerede implementeret rammeværk som ISO 27001, CIS18 eller GDPR, og de kan tjene som fundament for at opfylde NIS2-kravene.
For eksempel kræver både NIS2 og GDPR, at organisationer har klare procedurer for datahåndtering og håndtering af sikkerhedsbrud. Ved at integrere kravene i en samlet plan for hændelseshåndtering kan organisationen sikre, at begge regelsæt overholdes på en effektiv måde.
Konkrete trin til integration af NIS2
Følgende trin er et godt udgangspunkt for en effektiv integration af NIS2-kravene med eksisterende compliancearbejde:
1) Kortlægning af eksisterende processer
Start med at kortlægge, hvad der allerede er på plads inden for informationssikkerhed og compliance. Det inkluderer en grundig gennemgang af eksisterende politikker, procedurer og kontroller.
2) Identificering af overlap
Identificer områder, hvor NIS2-krav overlapper med andre regulativer som GDPR eller CIS18. Det kan hjælpe med at skabe synergier og sikre, at ressourcerne bruges effektivt.
3) Tilpasning af eksisterende rammeværk
Brug eksisterende rammeværk som ISO 27001 til at guide implementeringen af NIS2-kravene.
4) Implementering af nye kontroller
Implementer nye kontroller, hvor NIS2 ikke er dækket af eksisterende strukturer. Det kan for eksempel være etablering af procedurer for hændelseshåndtering, leverandørstyring og regelmæssige risikovurderinger.
NIS2 skal være en del af kulturen
NIS2-compliance er en løbende proces, der skal integreres i organisationens daglige drift og kultur. Det handler om mere end at implementere tekniske foranstaltninger – det er et spørgsmål om at skabe en sikkerhedsfokuseret tankegang på tværs af hele organisationen.
Hvis NIS2 skal integreres i kulturen, skal der skabes faste procedurer for regelmæssig risikovurdering og hændelseshåndtering. Det indebærer blandt andet:
- En fast risikovurderingscyklus, hvor alle afdelinger regelmæssigt vurderer deres sikkerhedsniveau og identificerer potentielle trusler.
- En kultur for hændelseshåndtering, hvor medarbejdere er trænet til hurtigt at identificere og reagere på sikkerhedshændelser.
Medarbejdernes viden og bevidsthed om cybersikkerhed er afgørende for en succesfuld implementering af NIS2. Det kan være en god idé at overveje:
- Løbende awareness-programmer der går ud over de traditionelle e-learningmoduler, fx workshops og tilpassede træningsmoduler, der tager højde for afdelingernes behov.
- At fremme en åben dialog om sikkerhed, hvor medarbejderne opfordres til at rapportere potentielle risici eller bekymringer uden frygt for reprimander.
Derudover er det vigtigt at huske, at cybersikkerhedstrusler konstant udvikler sig, og det skal organisationens forsvarsmekanismer derfor også gøre – fx gennem:
- Regelmæssige test og opdatering af sikkerhedsforanstaltninger gennem penetrationstests, audits og revisioner af politikker og procedurer.
- En dynamisk tilgang til politikopdatering, hvor ændringer i trusselslandskabet og lovgivningsmæssige krav hurtigt integreres i eksisterende politikker.
NIS2-direktivet bør ses som en mulighed for at evaluere og forbedre eksisterende sikkerhedsforanstaltninger, udvikle en stærk sikkerhedskultur og fremme en kontinuerlig forbedringsproces, så cybersikkerhed bliver en central del af organisationens strategi.
