Denne klumme er et debatindlæg og er alene udtryk for forfatterens synspunkter.
I gamle dage var EU-politik noget af det kedeligste, og med mindre det handlede om mængden af kanel i dansk bagværk, så trak det næppe overskrifter.
Men med GDPR og nu NIS2 har det gamle maskinværk i Brussel så sandelig fået alverdens opmærksomhed.
For NIS2 – Network and Information Systems 2 – kommer til at have en mærkbar effekt på alle, som bliver underlagt det nye regulativ.
Og det bliver de fleste af os.
Lovgivningen bygger videre på det oprindelige NIS-direktiv for at beskytte kritisk infrastruktur og vigtige digitale tjenester – og alt derimellem – samt sikre datastrømmene mellem medlemslandene og virksomheder og dermed borgerne.
Det lyder alt sammen superflot, men for den gennemsnitlige danske virksomhed eller organisation handler NIS2 om én ting:
Har du styr på dine data – og kan du dokumentere det.
GDPR og NIS2
For de uindviede lyder NIS2 til at handle om det samme som GDPR.
Men hvor GDPR handler om at beskytte den enkelte borgers digitale vel og vel og privatlivsrettigheder, så handler NIS2 om at beskytte kritiske netværk og informationssystemer for at beskytte vores europæiske fællesskab mod cyberangreb.
NIS2 er en forlængelse af NIS og udvider anvendelsesområdet for direktivet til at omfatte en bredere vifte af sektorer, herunder transport, sundhed, og vandforsyning, ud over de tidligere omfattede sektorer som energi, finans og digitale tjenester – men også store private fødevareforhandlere er underlagt NIS2.
Dertil kommer et stort antal virksomheder i forsyningskæden, som nu skal leve op til visse nye krav, fordi deres kunde er underlagt NIS2.
Omstændigt?
Ja, har du travlt, hvis du ikke er begyndt – relativt.
Jeg har arbejdet indædt med NIS2 i mere end to år, og jeg oplever, at der er mange – ikke kun i Danmark – som slet ikke har styr på det endnu.
Vi er ikke i nærheden af klar endnu, og fra 17. oktober kan der gives bøder.
Det bliver hårdt, men vi skal nok nå det.
Heldigvis, modsat GDPR, så er NIS2 uhyre konkret og stiller præcise og klare krav, som du skal efterleve – og benytter du allerede et sikkerhed-framwork såsom ISO, CIS, CMMK eller NIST, så er du på IT og OT-siden allerede 95 procent ad vejen!
Jeg kommer med en hurtig ”kom-i gang” samling til sidst, men med NIS2 skal du som virksomhed stille tre spørgsmål:
- Hvor meget monitorerer jeg mine data og mit netværk – og hvordan gør vi det?
- Hvad overvåger jeg rent faktisk, og hvor meget har jeg egentlig at overvåge?
- Hvad har vi af plan klar, hvis (når) uheldet er ude?
Det ovenstående er en grundpille i NIS2.
Ved den rette monitorering og kortlægning af virksomhedens netværk, infrastrukturtrafik og data kan man foretage de rette forebyggende tiltag og risikovurderinger.
Men måske vigtigst af alt hjælper det med at kortlægge dine netværk og data, hvis – eller når – du har et databrud.
Rapportering er nemlig en stor del af NIS2 – og i mine øjne også den vigtigste del.
Det er ingen skam at dele sine fejl
Med NIS2 bliver kravene om rapportering efter et cyberangreb skærpet – og kravet til, at du har det fulde overblik allerede inden for 24 timer.
Inden for de første 24 timer skal du have meldt ud, at du er ramt af et angreb, og inden 72 timer skal du præsentere for den gældende myndighed, at noget er gået galt, hvad der er gået galt samt kunne påvise omfanget af angrebet.
Du skal også fortælle, hvor i kæden du befinder dig. Altså, har du været transportør af angrebet til andre virksomheder eller organisationer – eller om du er endemålet for de it-kriminelle.
Senest en måned efter skal du skriftligt kunne redegøre for hele hændelsen, men med særligt fokus på de økonomiske konsekvenser, det kan have haft for alle dine samarbejdspartnere, som allerede inden proaktivt skal være oplyst om, hvordan de står stillet og hvordan det kunne være undgået.
Pyha…
Det lyder omstændigt, og det er det også, men med den rette forberedelse og monitorering af sin infrastruktur og data, så er det overkommeligt.
Og kravet om hurtig og konsekvent rapportering betyder også, at et angreb kan stoppes og nye angreb forebygges.
Jeg har stor respekt for folk som Per Lindblad Johansen fra Movia og for Jesper Østergaard fra 7-Eleven, som hver især aktivt fortæller om de angreb, de har oplevet.
It-kriminelle deler allerede angrebsmetoder, viden om sårbarheder og strategier med hinanden.
Det samme skal vi, og det vil NIS2 hjælpe os med.
Klummer er læsernes platform på Computerworld til at fortælle de bedste historier, og samtidig er det vores meget populære og meget læste forum for videndeling.
Har du en god historie, eller har du specialviden, som du synes trænger til at blive delt?
Læs vores klumme-guidelines og send os din tekst, så kontakter vi dig - måske bliver du en del af vores hurtigt voksende korps af klummeskribenter.