Hvordan påvirker NIS2 din rolle som CISO?

NIS2-direktivet indebærer væsentlige ændringer for dig, der er ansvarlig for informationssikkerhed. Dette direktivs krav fokuserer specifikt på ledelsen af informationssikkerhed.

Foto: NorthGRC

17.01.2024

Sponseret

NorthGRC

For yderligere information om NIS2, se linket her for at opnå en grundlæggende forståelse.

Det er vigtigt at anerkende, at NIS2 tilbyder en chance for at styrke både ledelsens støtte og det samlede fokus på informationssikkerhed. Hvis din organisation allerede bruger et ISMS- eller GRC-system baseret på ISO 27001/2, er du godt på vej. Overholdelse af ISO 27001/2, suppleret med nogle få tilføjelser, vil sandsynligvis være nok til at opfylde kravene i NIS2.

  1. Forstærkning af ledelsesprocesserne, inklusiv tydeliggørelse af roller og ansvar: 
    Selvom din organisation muligvis allerede har implementeret ledelsesengagement og ansvarsfordeling som en del af ISO 27001, kan det være værd at overveje yderligere organisering eller uddannelse om nye emner i sikkerhedsarbejdet.
  2. Finjustering og detaljering af kontrolforanstaltninger: 
    Hvis din organisation allerede anvender kontrolforanstaltninger fra ISO 27002's Annex A, vil de fleste krav i NIS2 være opfyldt. Dog kan der være behov for yderligere specifikationer eller tilpasninger.

Her er en oversigt over vigtige kontrolforanstaltninger og deres tilsvarende afsnit i NIS2 og ISO 27001, der uddybes yderligere i artiklen.

Områderne uddybes i næste afsnit:

NIS2-områdeKontrolforanstaltninger
ISO 27001:2013
Kontrolforanstaltninger
ISO 27001:2022 
RisikohåndteringISO 27001 6.1, 8.1ISO 27001 6.1, 6.2 8.1
Håndtering af hændelser 1) 

ISO 27001 7.3

ISO2700 A16

ISO27002

5.24
5.25
5.26

5.27

&.8

Sikkerhed i netværk og informationssikkerhed ved erhvervelse og udvikling af systemerISO27001
A14.1.1
A14.1.3
A14.2.1
A15.2.5
A14.2.8
A14.2.9

ISO 27001
A5.8
A8.8
A8.26
A8.27
A8.29
A8.30
A8.31

A8.32

BeredskabISO 27001
A12
A17

ISO27002
5.37
8.7
8.13

8.15

 

Personsikkerhed ISO 27001 A7

5.9-5.11,
5.15 

6,1- 6.8

AktiverISO 27001 A85.9-5.11,
NetværkssikkerhedISO 27001 A13

8.8
8.20-22
8.25-8.34

AdgangskontrolsikkerhedISO 27001 A9

ISO27002
5.5,
5.14

5.17

5.29
5.30
8.5

KryptografiISO 27001 A10ISO27002
8.24
Leverandørstyring

ISO 27001 8.1

ISO 17001 A15

5.19
5.23
Kontrol af efterlevelse

ISO 27001 9.3

ISO 27001 A18.2

ISO 27001 9.3
ISO 27002
5.35
5.36
8.8

Når disse kontrolforanstaltninger er gennemgået, er det vigtigt at afprøve deres effektivitet, hvilket kan indgå i en kommende intern audit. Det er essentielt at være opmærksom på de råd og retningslinjer, der udstikkes af de relevante myndigheder. 

Hovedforskellene mellem ISO 27002 og NIS2

NIS2-direktivet stiller en række specifikke krav til arbejdet med informationssikkerhed, hovedsageligt omtalt i direktivets §21 og §23. Selvom der er et betydeligt overlap med ISO 27001/2, kan der være områder, hvor din organisation skal foretage yderligere specifikationer eller udvidelser af jeres informationssikkerhed:

  1. Risikostyring: NIS2 kræver systematiske og regelmæssige risikoanalyser for at identificere sårbarheder i forhold til cyberangreb, i tråd med ISO 27002.
  2. Håndtering af sikkerhedshændelser: I modsætning til ISO 27001 kræver NIS2 en formel og detaljeret proces for rapportering og håndtering af sikkerhedshændelser, lignende GDPR's krav.
  3. Netværks- og systemsikkerhed ved anskaffelse og udvikling: Fokus på at sikre netværk og systemer gennem en kombination af tekniske og organisatoriske kontrolforanstaltninger.
  4. Beredskabsplaner: Vigtigheden af beredskabsplanlægning og -procedurer for at håndtere cyberhændelser, der kan forstyrre forretningsdriften.
  5. Sikkerhed i forsyningskæden: Fokus på informationssikkerhed gennem hele forsyningskæden og identifikation af potentielle trusler.
  6. Sikkerhed i erhvervelse og udvikling: Vurdering og klassificering af nye systemer for at matche kontrolforanstaltninger med de tilknyttede risici.
  7. Politikker og processer: Sikring af, at sikkerhedsprocesser fungerer effektivt gennem godkendte sikkerhedspolitikker og understøttende procedurer, herunder ledelsens gennemgang af informationssikkerheden.
  8. Anvendelse af kryptering:
    Fokus på brugen af krypteringsteknologi og kontrolforanstaltninger relateret hertil, hvor overholdelse af ISO 27002 kan sikre efterlevelse af NIS2's krav.

Konklusion på Artiklen

NIS2-direktivet har en betydelig praktisk betydning for CISO'er, idet det direkte adresserer styring af informationssikkerhed. Ved at forstå sammenhængene og forskellene mellem NIS2 og ISO 27001/2 kan organisationer udnytte deres eksisterende ISMS eller GRC-værktøjer til at opfylde NIS2-kravene. Det er dog afgørende at lægge ekstra fokus på områder som ledelsesstøtte, processer og kontrolforanstaltninger, der muligvis kræver tilpasning eller yderligere detaljering.

Assistance til NIS2 compliance 

Selvom der er usikkerheder om, hvordan NIS2 vil blive implementeret i lovgivningen, er det klart, at en solid forståelse og implementering af ISO 27001 vil bringe jer langt. Vores GRC-værktøj tilbyder assistance i at håndtere og overvåge overholdelsen af ISO 27001, ISO 27002, NIS2, GDPR og andre standarder. Med en omfattende samling af skabeloner og værktøjer til risikostyring og hændelseshåndtering, kan I nemt få overblik og støtte til de områder, hvor I mangler.

Vores GRC-værktøj samler compliance-arbejdet i ét system, så du ikke behøver separate værktøjer til ISO 27001, NIS2, GDPR, mv. Denne integrerede tilgang sikrer, at sikkerhedsforanstaltninger på ét område støtter overholdelsen på flere områder. 

For mere information og for at prøve NorthGRC gratis og uforpligtende, klik her.

Eller book et møde direkte med vores salgsdirektør for en personlig gennemgang.

Denne artikel er del af et tema:

Tema: Cybersikkerhed i forsyningskæden

Forsyningskæden er i dag den primære indgang for cyberkriminelle. Forsyningskæden er samtidig en så vanskelig en størrelse at håndtere i forhold til cybertrusler, at det måske ikke er rimeligt at bruge termen ’sikkerhed’. Måske er det mere rimeligt at tale om, at målet for indsatsen er ’højere resiliens’ frem for ’100 procent sikkerhed’. Læs forskellige vinkler på og anbefalinger til arbejdet med at forbedre cybersikkerheden i kæden.

17.01.2024NorthGRC

Sponseret

NIS2 beredskabsplanlægning: En guide til IT- og Supply Chain Managers

17.01.2024NorthGRC

Sponseret

Hvordan påvirker NIS2 din rolle som CISO?