Denne klumme er et debatindlæg og er alene udtryk for forfatterens synspunkter.
NIS2 er et direktiv, som pålægger medlemslandene at sikre, at udbydere af kritisk infrastruktur og tjenester har passende sikkerhedsforanstaltninger på plads til at styre cyberrisici og opretholde modstandsdygtighed i tilfælde af en hændelse.
Det næste, der skal ske, er, at direktivet skal vedtages af EU-parlamentet, og derefter skal det publiceres.
Derefter har vi 21 måneder til at lave en dansk lov, og alle de omfattede organisationer har også 21 måneder til at implementere kravene, hvorefter det skal håndhæves af de udpegede myndigheder.
Lad mig advare jer med det samme: 21 måneder er IKKE lang tid, når det kommer til at få udarbejdet og indarbejdet de krav, som følger med direktivet. Så lad os se på, hvorfor vi skal gå i gang nu, og hvad vi skal foretage os.
Den gode nyhed er, at vi har prøvet noget lignende før. Det hele minder således om forløbet for GDPR, der blev vedtaget i 2016, og skulle håndhæves fra 25. maj 2018.
Skal vi ikke alle sammen tænke tilbage på de mange fejl, som der blev begået den gang, og så lære af dem, så vi ikke gentager dem med NIS2?
Jeg husker stadig de sidste-øjebliksprojekter, som jeg blev hevet ind i de sidste 6-9 måneder frem mod 25. maj 2018, og det tænker jeg at både jeg selv, og de omfattede organisationer, gerne vil undgå denne gang.
Jeg har desværre mange eksempler på forskellige GDPR-relaterede forhold, som jeg skulle tage stilling til i sidste øjeblik, eller forhastede krav om databehandleraftaler, som bare skulle underskrives lige med det samme, fordi databehandleraftaler var noget konkret, som de fleste kunne forstå i implementeringen af GDPR.
En af de mere pudsige var kravet om en databehandleraftale, fordi en organisation gav plads til en fysisk server fra en anden organisation (plads, strøm, net og køling).
Fordi den dataansvarlige lavede backup på bånd, skulle dette bånd periodisk tages ud af serveren og puttes igennem en revne i et låst skab.
Da den dataansvarlige organisation havde læst, at transport af data var en behandling, så skulle vi have en databehandleraftale, da vi jo fysisk bar båndet over til skabet, og puttede et nyt bånd i serveren.
Man havde bare lige glemt den detalje, at der slet ikke var tale om behandling af personoplysninger.
Lær af fejlene
Lad os nu love hinanden, at vi alle lærer af de fejl, vi begik sidst, og gør det bedre denne gang - eller i det mindste i lidt bedre tid.
Med det udgangspunkt kan vi starte med at slå følgende fast:
- Nej, det går ikke væk igen.
- Nej, det hjælper ikke at ignorere det og stikke hovedet i busken.
- Jo senere, I går i gang, jo mere pressede bliver I, og jo flere panikhandlinger ender det med.
Selvom vi ikke kender den endelige tekst og dermed de endelige krav eller de endeligt omfattede organisationer, så er der allerede nu meget at give sig til.
NIS2-direktivet bygger på en risikobaseret tilgang, som vi kender det fra for eksempel ISO27001 og fra GDPR.
Derfor skal vi på baggrund af en risikovurdering implementere passende tekniske og organisatoriske sikkerhedsforanstaltninger.
Og alene ud fra den viden, er der meget, vi kan gå i gang med allerede nu og ikke bør vente med til sidste øjeblik.
I øvrigt giver kravene god mening at forholde sig til under alle omstændigheder, da de løfter jeres organisation i forhold til arbejdet med sikkerhed.
Det er krav, som skal gøre jeres organisation bedre til at håndtere de stadig stigende trusler i den digitale verden, og skal hjælpe jer med at sikre, at jeres tjenester er oppe og tilgængelige, hvilket jo ofte er selve formålet med tjenesten.
Og tro mig – de digitale trusler, I skal beskytte jer imod, venter ikke 21 måneder med at gå i gang.
Yderligere er der stort overlap mellem kravene i NIS2 og krav fra anden lovgivning som for eksempel GDPR, DORA eller bare de nationale cyber- og informationssikkerhedsstrategier.
Hvis man danner sig et overblik over kravene på tværs af de forskellige lovgivninger og andre eksterne krav, vil man se, at ganske få tiltag faktisk hjælper jer et langt stykke ad vejen mod compliance med mange forskellige lovkrav.
Samtidig har beredskab alle dage været en god ting at have styr på, både beredskab i forhold til håndtering af angreb eller hændelser og i forhold til at kunne få tjenester tilbage i drift.
Jeg foreslår, I kan starte med at forholde jer til følgende trin:
1. Afklar, om I er omfattet
Dette kan pt. være lidt svært at sige med sikkerhed, da direktivets endelige tekst stadig ikke er offentliggjort, men man kan orientere sig i den seneste offentliggjorte tekst og lave en foreløbig vurdering ud fra de omfattede sektorer.
2. Hvis man er omfattet, så afklar hvilke systemer, som er omfattet
Direktivet har til formål at styrke sikkerheden i de systemer, som er nødvendige for leverancen af de essentielle og vigtige tjenester, som leveres.
3. Få kendskab til egen modenhed inden for informationssikkerhed
For mig er dette et vigtigt skridt, da jeg tit ser organisationer fejle med deres sikkerhedstiltag, fordi de forsøger at implementere procedurer eller tiltag, som ligger over, hvad de kan klare med deres aktuelle modenhedsniveau.
4. Få forankret det hos ledelsen (og uddannet ledelsen)
I NIS2, som i andre informationssikkerhedsparadigmer, er en forankring hos ledelsen en af grundstenene, da det er ledelsen, som skal prioritere risici og dernæst prioritere ressourcer til risici. Yderligere stiller NIS2 krav om uddannelse til ledelsen vedrørende cybersikkerhed.
5. Få implementeret en god risikostyring
Når ledelsen er involveret og forstår sin rolle, skal de forstå, hvordan de ud fra en risikobaseret tilgang skal styre organisationens håndtering af identificerede risici.
6. Identificer og vurder risici
Mulige risici findes på baggrund af sårbarheder, trusler, sandsynlighed og konsekvens, som tilsammen udgør risikovurderingen og en dertilhørende score for, hvor høj den risiko er.
7. Identificer mitigerende foranstaltninger til de identificerede risici
På baggrund af risikovurderingerne skal der implementeres sikkerhedsforanstaltninger, som har til formål at reducere de identificerede risici, det kan være organisatoriske, tekniske eller fysiske sikkerhedsforanstaltninger.
8. Afdæk behovet for beredskabsplaner
Der skal udarbejdes beredskabsplaner for alle de omfattede systemer og for de relevante scenarier.
9. Afklar jeres kapacitet for overvågning af de omfattede systemer
Fordi NIS2 stiller krav om indrapportering af hændelser og near-miss ting, så skal I som organisation kunne opdage og analysere disse, så I kan indberette dem.
10. Implementer rapportering til både interne og eksterne
Både hændelser og risici skal rapporteres, så procedurer og måske systemer til understøttelse af dette kan være meget gode at have.
11. Dokumenter alt, hvad I laver
Der er ikke nødvendigvis krav om dokumentation, men dokumentation af jeres risici, sikkerhedsforanstaltninger, hændelser og lignende er altid en god ting at have klar, hvis der skulle komme et tilsynsbesøg.
12. Start forfra fra punkt 3
Plan-Do-Check-Act, det gælder også her, så når man er nået igennem listen, så skal man starte forfra (fra punkt 3) så man løbende og kontinuerligt kan forbedre sin sikkerhed og sit beredskab.
Og derud over så skal der testes, testes og testes – for en beredskabsplan som ikke er testet, er ikke nødvendigvis en beredskabsplan når hændelsen indtræffer.
God implementeringslyst herfra.
Klummer er læsernes platform på Computerworld til at fortælle de bedste historier, og samtidig er det vores meget populære og meget læste forum for videndeling.
Har du en god historie, eller har du specialviden, som du synes trænger til at blive delt?
Læs vores klumme-guidelines og send os din tekst, så kontakter vi dig - måske bliver du en del af vores hurtigt voksende korps af klummeskribenter.