Af Lars Bennetzen, Alt om Data
Denne artikel er oprindeligt bragt på Alt om Data. Computerworld overtog i november 2022 Alt om Data. Du kan læse mere om overtagelsen her.
Når de nye europæiske sikkerhedskrav, NIS2, træder i kraft i starten af 2024 betyder det, at danske virksomheder i kritiske sektorer skal forholde sig til blandt andet øgede krav til risikostyring, kontrol og tilsyn. Samtidig skal organisationerne være opmærksomme på, at de selv er forpligtede til at finde ud af, hvorvidt de er omfattet af NIS2 eller ej.
EU-direktivet NIS2, som nu skal implementeres i dansk lovgivning, er en videreførelse af NIS fra 2018, og det dækker en række nye sektorer. NIS2-direktiv skal imødekomme de behov, der er opstået som følge af den stadig stigende trussel for cyberkriminalitet. Og det gør op med uhensigtsmæssigheder i det oprindelige direktiv, hvor de enkelte medlemslande i nogen grad kunne definere, hvilke sektorer og organisationer der skulle være omfattet af NIS-direktivet.
Her er sektorerne
NIS2 stiller tekniske minimumskrav til statslige institutioner og til private virksomheder, men kun inden for bestemte sektorer. Med NIS2 er det it-, energi-, transport-, sundheds-, finans- og fødevaresektoren.
Flere rådgivningsvirksomheder har allerede kridtet skoene og er parate til at rådgive virksomheder om direktivets konsekvenser. Blandt dem er PwC. Og her forklarer Mads Nørgaard Madsen, partner og leder af Consulting – Technology & Security, i en meddelelse, at der ikke vil være nogen myndighed, der udpeger og varsler organisationerne.
”Fra starten af 2024 er virksomhederne og myndigheder forpligtet til at leve op til kravene, og derfor er det en fordel at komme i gang nu frem for at vente, da det tidligere har vist sig, at det har været en omfattende opgave for de organisationer, der var omfattet af NIS1. Hvis virksomhederne og myndighederne har en ledelsesforankret risikoproces i forvejen, er det en klar fordel. Hvis ikke, venter en omfattende proces forude,” skriver Mads Nørgaard Madsen.
22 procent højere omkostninger
Helt billigt bliver det ikke for de berørte virksomheder. Det anslås, at de virksomheder der er omfattet af NIS2-direktivet, vil få deres nuværende udgifter til sikkerhed forøget med 22 procent i de første år efter indførelsen af direktivet.
Virksomheder bør ikke tage NIS2 for let. For Mads Nørgaard Madsen påpeger, at hvis virksomheden ikke lever op til de skærpede krav, kan de potentielt se frem til bøder på samme måde som med GDPR.
6 skridt: Sådan kommer du godt i gang med NIS2
Hvordan kommer man bedst og billigst i gang med en NIS2-proces? Her er PwC’s anbefalinger.1. Virksomheder skal få foretaget en modenhedsvurdering og sikre, at ledelsen bakker op. Vurderingen skal vise, hvilke investeringer og kompetencebehov virksomheden skal bruge for at få implementeringen til at lykkes.
2. Sørg for at ramme de driftskritiske aktiver. NIS2-direktivet skal beskytte kritisk infrastruktur, forsyningskæder til kritisk infrastruktur og andre samfundsvigtige funktioner.
3. Brug ”best practice”-værktøjer. NIS2-direktivet stiller krav til implementering af ledelsessystemer for informationssikkerhed. Derfor skal virksomheder bruge internationale standarder som styringsramme.
4. Beskriv risikoprocessen. Fordi NIS2-direktivet stiller krav til en risikobaseret tilgang til informationssikkerhed, skal risikoprocessen beskrives og efterleves. Samtidig skal der implementeres skadesforebyggende foranstaltninger, der formindsker risici.
5. Hurtig reaktion. NIS2 stiller krav til, at virksomheder skal rapportere hændelser til CSIRT inden for 24 timer. Samtidig skal de løbende opdatere CSIRT med status på hændelser og eventuelle kompromitteringer. Fordi NIS2 er en EU-standard, skal det vurderes om hændelsen kan have effekt på flere medlemsstater, og hvis det er tilfældet, vil den blive rapporteret videre til det europæiske cyberagentur, ENISA.
6. Start forfra. Modenheds- og risikoprocessen skal gentages med jævne mellemrum, så risici bliver identificeret og mitigeret.
