Denne klumme er et debatindlæg og er alene udtryk for forfatterens synspunkter.
Jeg har sagt det før, men gentager det gerne.
Igennem mine over 20 år indenfor it og cybersikkerhed har jeg aldrig personligt anbefalet eller implementeret nogen foranstaltninger blot fordi disse var anbefalinger fra andre. Det være sig eksterne revisorer, interne revisorer eller andre eksterne eksperter.
Beslutningen om implementering og om at følge en anbefaling har altid haft udgangspunkt i, om det gav mening for virksomheden og dens kunder.
Kravene i NIS2 direktivet giver, i mine øjne, langt hen ad vejen rigtig god mening at implementere i forhold til at beskytte egne og ikke mindst kunders data.
Hvad er NIS2 (Network and Internet Security)?
NIS2 er et EU-direktiv, som har til formål at beskytte infrastrukturen og de tjenester og produktioner, som er vigtige for samfundet, mod nedbrud og cyber trusler. Det skal ske via et højt, ensartet niveau af cyber- og informationssikkerhed på tværs af EU.
NIS2 har særligt fokus på to områder:
- Ledelseskrav til virksomheden
- Sikkerhedskrav til virksomheden
Hvornår blev NIS2 EU-direktivet vedtaget og hvornår træder det i kraft?
NIS2 direktivet blev efter mange og lange drøftelser vedtaget og publiceret d. 27. december 2022. Som normalt med disse direktiver har man ca. 18 måneder til at implementere de krævede foranstaltninger.
I tilfældet NIS2 træder direktivet i kraft d. 18. oktober 2024.
Hvem bliver omfattet af NIS2 direktivet?
Det oprindelige NIS direktiv var rettet mod sektorerne for kritisk infrastruktur, såsom:
- Sundhedssektoren
- Transportsektoren
- Vandforsyning
- Digital Infrastruktur
- Bank- og finansmarkedsinfrastruktur
- Energisektoren
- Udbydere af offentlige elektroniske kommunikationsnetværk eller -tjenester
- Spildevand og affaldshåndtering
- Fremstilling af ekstra vigtige produkter (f.eks. lægemidler, medicinsk udstyr og kemikalier)
- Fødevarer
- Digitale tjenester (f.eks. sociale netværksplatforme og datacentertjenester)
- Rummet (f.eks. rumfart)
- Post- og kurertjenester
- Offentlig administration
Min opfordring til virksomhedernes ledere og bestyrelser
Hvis man er i tvivl om, om man er underlagt NIS2 kan man få det afklaret med hjælp fra en af de mange juridiske eksperter indenfor området.
Hvis man er underligt NIS2 direktivet og ikke allerede er startet compliance arbejdet, bør man komme i gang hurtigst muligt.
Det første, man efter min mening, bør gøre er at få afklaret om man er NIS2 compliant og hvilke initiativer der i fald man ikke er, i så fald skal til for at blive compliant.
Hvad kan I som virksomhed gøre?
Den mest oplagte og effektive måde at få et overblik over sin compliancesituation er at lave eller få lavet en NIS2 fit/gap analyse.
En sådan analyse skal gerne give virksomheden og ledelsen et overblik over dens nuværende compliance situation, samtidig med at den bør give konstruktive og operationelle input til, hvilke initiativer der skal til for at virksomheden, dens ledelse og bestyrelse lever op til kravene fra NIS2.
I forhold til de tidligere nævnte to områder, ”Ledelseskrav” og ”Sikkerhedskrav”, bør man stille sig selv en lang række spørgsmål, såsom:
- Har virksomheden etableret risikostyring – husk at denne også skal beskrive roller og ansvar
- Har virksomheden udarbejdet og implementeret de krævede politikker, såsom it-sikkerheds politik, Netværkssikkerhed- og krypterings politik, politik for ansvarlig dataanvendelse m.fl. (husk, at kontrollere at indholdet i disse politikker lever op til kravene fra NIS2)
- Har virksomheden udarbejdet en it-beredskabsplan
- Er der udarbejdet awareness- og træningsplaner for de forskellige niveauer i organisationen - fra brugere til bestyrelsen
- Få afklaret om din virksomhed er en af de hundredvis af danske virksomheder, som falder under det nye NIS2 EU-direktiv
- Er din virksomhed omfattet af NIS2 - lav eller få hurtigst muligt lavet en NIS2 compliance fit/gap-analyse
- Implementer de foranstaltninger fit/gap-analysen afdækker der mangler for at leve op til kravene
- Implementer foranstaltningerne på en pragmatisk og effektiv måde, som giver mening i forhold til at beskytte dine og dine kunders data
Klummer er læsernes platform på Computerworld til at fortælle de bedste historier, og samtidig er det vores meget populære og meget læste forum for videndeling.
Har du en god historie, eller har du specialviden, som du synes trænger til at blive delt?
Læs vores klumme-guidelines og send os din tekst, så kontakter vi dig - måske bliver du en del af vores hurtigt voksende korps af klummeskribenter.