Hvordan påvirker NIS2 din rolle som CISO?
NIS2-direktivet indebærer væsentlige ændringer for dig, der er ansvarlig for informationssikkerhed. Dette direktivs krav fokuserer specifikt på ledelsen af informationssikkerhed.
Foto: NorthGRC
For yderligere information om NIS2, se linket her for at opnå en grundlæggende forståelse.
Det er vigtigt at anerkende, at NIS2 tilbyder en chance for at styrke både ledelsens støtte og det samlede fokus på informationssikkerhed. Hvis din organisation allerede bruger et ISMS- eller GRC-system baseret på ISO 27001/2, er du godt på vej. Overholdelse af ISO 27001/2, suppleret med nogle få tilføjelser, vil sandsynligvis være nok til at opfylde kravene i NIS2.
- Forstærkning af ledelsesprocesserne, inklusiv tydeliggørelse af roller og ansvar:
Selvom din organisation muligvis allerede har implementeret ledelsesengagement og ansvarsfordeling som en del af ISO 27001, kan det være værd at overveje yderligere organisering eller uddannelse om nye emner i sikkerhedsarbejdet. - Finjustering og detaljering af kontrolforanstaltninger:
Hvis din organisation allerede anvender kontrolforanstaltninger fra ISO 27002's Annex A, vil de fleste krav i NIS2 være opfyldt. Dog kan der være behov for yderligere specifikationer eller tilpasninger.
Her er en oversigt over vigtige kontrolforanstaltninger og deres tilsvarende afsnit i NIS2 og ISO 27001, der uddybes yderligere i artiklen.
Områderne uddybes i næste afsnit:
| NIS2-område | Kontrolforanstaltninger ISO 27001:2013 | Kontrolforanstaltninger ISO 27001:2022 |
|---|---|---|
| Risikohåndtering | ISO 27001 6.1, 8.1 | ISO 27001 6.1, 6.2 8.1 |
| Håndtering af hændelser 1) | ISO 27001 7.3 ISO2700 A16 | ISO27002 5.24 5.27 &.8 |
| Sikkerhed i netværk og informationssikkerhed ved erhvervelse og udvikling af systemer | ISO27001 A14.1.1 A14.1.3 A14.2.1 A15.2.5 A14.2.8 A14.2.9 | ISO 27001 A8.32 |
| Beredskab | ISO 27001 A12 A17 | ISO27002 8.15 |
| Personsikkerhed | ISO 27001 A7 | 5.9-5.11, 6,1- 6.8 |
| Aktiver | ISO 27001 A8 | 5.9-5.11, |
| Netværkssikkerhed | ISO 27001 A13 | 8.8 |
| Adgangskontrolsikkerhed | ISO 27001 A9 | ISO27002 5.17 5.29 |
| Kryptografi | ISO 27001 A10 | ISO27002 8.24 |
| Leverandørstyring | ISO 27001 8.1 ISO 17001 A15 | 5.19 5.23 |
| Kontrol af efterlevelse | ISO 27001 9.3 ISO 27001 A18.2 | ISO 27001 9.3 ISO 27002 5.35 5.36 8.8 |
Når disse kontrolforanstaltninger er gennemgået, er det vigtigt at afprøve deres effektivitet, hvilket kan indgå i en kommende intern audit. Det er essentielt at være opmærksom på de råd og retningslinjer, der udstikkes af de relevante myndigheder.
Hovedforskellene mellem ISO 27002 og NIS2
NIS2-direktivet stiller en række specifikke krav til arbejdet med informationssikkerhed, hovedsageligt omtalt i direktivets §21 og §23. Selvom der er et betydeligt overlap med ISO 27001/2, kan der være områder, hvor din organisation skal foretage yderligere specifikationer eller udvidelser af jeres informationssikkerhed:
- Risikostyring: NIS2 kræver systematiske og regelmæssige risikoanalyser for at identificere sårbarheder i forhold til cyberangreb, i tråd med ISO 27002.
- Håndtering af sikkerhedshændelser: I modsætning til ISO 27001 kræver NIS2 en formel og detaljeret proces for rapportering og håndtering af sikkerhedshændelser, lignende GDPR's krav.
- Netværks- og systemsikkerhed ved anskaffelse og udvikling: Fokus på at sikre netværk og systemer gennem en kombination af tekniske og organisatoriske kontrolforanstaltninger.
- Beredskabsplaner: Vigtigheden af beredskabsplanlægning og -procedurer for at håndtere cyberhændelser, der kan forstyrre forretningsdriften.
- Sikkerhed i forsyningskæden: Fokus på informationssikkerhed gennem hele forsyningskæden og identifikation af potentielle trusler.
- Sikkerhed i erhvervelse og udvikling: Vurdering og klassificering af nye systemer for at matche kontrolforanstaltninger med de tilknyttede risici.
- Politikker og processer: Sikring af, at sikkerhedsprocesser fungerer effektivt gennem godkendte sikkerhedspolitikker og understøttende procedurer, herunder ledelsens gennemgang af informationssikkerheden.
- Anvendelse af kryptering:
Fokus på brugen af krypteringsteknologi og kontrolforanstaltninger relateret hertil, hvor overholdelse af ISO 27002 kan sikre efterlevelse af NIS2's krav.
Konklusion på Artiklen
NIS2-direktivet har en betydelig praktisk betydning for CISO'er, idet det direkte adresserer styring af informationssikkerhed. Ved at forstå sammenhængene og forskellene mellem NIS2 og ISO 27001/2 kan organisationer udnytte deres eksisterende ISMS eller GRC-værktøjer til at opfylde NIS2-kravene. Det er dog afgørende at lægge ekstra fokus på områder som ledelsesstøtte, processer og kontrolforanstaltninger, der muligvis kræver tilpasning eller yderligere detaljering.
Assistance til NIS2 compliance
Selvom der er usikkerheder om, hvordan NIS2 vil blive implementeret i lovgivningen, er det klart, at en solid forståelse og implementering af ISO 27001 vil bringe jer langt. Vores GRC-værktøj tilbyder assistance i at håndtere og overvåge overholdelsen af ISO 27001, ISO 27002, NIS2, GDPR og andre standarder. Med en omfattende samling af skabeloner og værktøjer til risikostyring og hændelseshåndtering, kan I nemt få overblik og støtte til de områder, hvor I mangler.
Vores GRC-værktøj samler compliance-arbejdet i ét system, så du ikke behøver separate værktøjer til ISO 27001, NIS2, GDPR, mv. Denne integrerede tilgang sikrer, at sikkerhedsforanstaltninger på ét område støtter overholdelsen på flere områder.
For mere information og for at prøve NorthGRC gratis og uforpligtende, klik her.
Eller book et møde direkte med vores salgsdirektør for en personlig gennemgang.
