NIS2-direktivet: For at beskytte jeres digitale verden
NIS 2 direktivet er det politiske svar på de cybertrusler vi ser rettet mod Europa og resten af verden. Direktivet stiller konkrete krav til de omfattede virksomheder, og får også konsekvenser for en lang række virksomheder, der ikke er direkte omfattet.
Foto: DNV
Er din virksomhed klar til at tage de aktuelle IT-sikkerhedsudfordringer op? Som virksomhedsejer eller leder er du muligvis allerede bekendt med begrebet NIS (Network and Information Security), men ved du også, at der er lovgivning, du skal overholde? Og ved du, hvad lovgivningen indeholder?
NIS2-direktivet skal sikre vores digitale infrastruktur. Det omfatter både private virksomheder og den offentlige sektor, som forpligtes til at iværksætte foranstaltninger der imødegår ondsindede angreb og sikrer, at virksomhederne er klar hvis ulykken er ude.
8 hovedindsatser som konsekvens af NIS2-direktivet
Direktivet har flere væsentlige indsatsområder, der skal arbejdes med for at sikre den rette beskyttelse. Her kommer de indsatsområder, I bør få styr på, inden direktivet træder i kraft.
1 Rapporteringspligt: Hvis I er en virksomhed, der betragtes som væsentlig eller vigtig, skal I rapportere alvorlige sikkerhedsbrud og hændelser til de nationale myndigheder (CSIRT for jeres sektor - Computer security incident response team) uden unødigt ophold og senest 24 timer efter I har fået kendskab til den.
2 Risikovurdering og sikkerhedsforanstaltninger: Risikovurderinger skal gennemføres regelmæssigt (og ved ændringer) og topledelsen er personligt ansvarlige for at træffe passende sikkerhedsforanstaltninger for at beskytte jeres netværk og informationssystemer.
3 Sikkerhedsforanstaltninger for essentielle tjenester: I skal også implementere passende tekniske og organisatoriske foranstaltninger for at sikre en høj grad af IT-sikkerheden og beskytte mod cyberangreb. Selv om det ikke er et krav i lovgivningen, at man arbejder med ISO 27001, er det tydeligt, at lovgiverne har kigget dybt i ISO 27001 og direkte anbefaler, at man anvender allerede ”anerkendte” rammeværk for at sikre dette – man skal altså være næsten tonedøv for ikke at kigge i retning af ISO 27001 når man skal i gang med at etablere de rette tekniske og organisatoriske foranstaltninger – ikke mindst når de andre krav i NIS2 tages med i betragtning.
4 Ledelsesengagement: Virksomhedsledelsen skal vise engagement og støtte i forhold til cybersikkerhed og etablere klare politikker og procedurer for cybersikkerhed. I øvrigt et andet essentielt krav også i ISO 27001.
5 Incident Response Plan (hændelseshåndtering): I skal udvikle og implementere effektive hændelseshåndteringsplaner for at kunne reagere hurtigt og effektivt på sikkerhedsbrud og hændelser.
6 Overvågning og logning: Som operatør skal I løbende overvåge jeres netværk og informationssystemer og opretholde detaljerede logs over aktiviteter for at muliggøre efterforskning af sikkerhedsbrud.
7 Myndighedssamarbejde: I skal samarbejde tæt med de nationale myndigheder og CSIRT for at dele information om trusler og hændelser samt for at koordinere responsen på cyberangreb.
8 Kvalifikationer og uddannelse: I skal desuden sørge for, at jeres personale har de nødvendige kvalifikationer og uddannelse inden for cybersikkerhed for at kunne håndtere trusler og hændelser.
ISO 27001 gør det nemt at leve op til NIS2
Har I allerede implementeret ISO 27001? Så er I næsten i mål med at leve op til NIS2-direktivet, fortæller Kåre Weng, der er ekspert i ledelsesystemer hos DNV.
”Hovedkravene i NIS2 er som udgangspunkt de samme som i ISO 27001. NIS2 nævner ikke ISO 27001, for lovgiverne anviser selvfølgelig ikke konkrete værktøjer til implementering af lovgivgning. Der er metodefrihed. Alligevel er der ingen tvivl om, at man har lænet sig op af et framework som ISO 27001, da man udviklede NIS2. Ikke kun derfor er ISO 27001 et oplagt værktøj, hvis man vil sikre overholdelse af kravene i NIS2,” fortæller Kåre Weng. Ifølge ham er der nemlig kun to yderligere krav, der ligger ud over ISO 27001.
Det første handler om, at man i NIS2 også skal vurdere virksomhedens betydning for de samfundsmæssige risici. Hvis man er en del af den kritiske infrastruktur skal virksomhederne forholde sig til, hvad der sker med samfundet, hvis fx. metroen ikke kører, der ikke kommer vand i vandhanerne eller en virksomhed ikke kan levere medcin i en periode som følge af et nedbrud på grund af manglende IT-sikkerhed eller beredskab.
Det andet krav, der ikke indgår i ISO27001, er rapporteringsforpligtelsen. Hvis man har et IT-nedbrud, så har man 24 timer til at rapportere det til CSIRTEN for den pågældende sektor. Kåre Weng fortæller, at begge krav også skal opfyldes gennem ISO 27001:
”Kravene i NIS2 bliver til krav fra relevante interessenter i ISO 27001, så indirekte vil man også skulle overholde disse krav med ISO 27001, selv om det ikke står direkte i standardens krav. Og derfor er dette rammeværk anderledes end mange andre, da overholdelse af regulatoriske krav altid vil være et krav til virksomheder, der er certificeret”, siger Kåre Weng.
Brug for hjælp til næste skridt?
Få adgang til DNV’s gratis online selfassessment værktøj, der hjælper dig med at vurdere om I er klar til ISO 27001. Se mere på www.dnv.dk/ISO27001
