Denne klumme er et debatindlæg og er alene udtryk for forfatterens synspunkter.
Mange er allerede trætte af NIS2 og de utallige ”dommedagsoverskrifter”, så her kommer en mere positiv en af slagsen: NIS2 vil skabe et mere sikkert og bedre forberedt Danmark og Europa.
NIS2 er faktisk en god ting, når det kommer til at højne it-sikkerhedsniveauet i Europa – og særligt når det kommer til risikovurdering og forretningskontinuitet. Eller som spejderen ville sige det: ”at være beredt.”
NIS2 understøtter virksomhedernes arbejdsindsats i forhold til at implementere ISO27001 og GDPR, da en række af kravene i NIS2 rammer ind i, at man har en ordentlig, vel-implementeret struktur omkring organisationens it-anvendelse.
Ligeledes stilles der større krav til kontrol af underleverandører (der i mange tilfælde selv bliver underlagt NIS2) samt at man real-tester og kan dokumentere forretningskontinuitet og disaster recovery der rent faktisk virker.
For med artikel 21 i det kommende NIS2-direktiv bliver der stillet store krav til kritisk infrastruktur, samfundsvigtige virksomheder og organisationer.
De skal have en backup plan – både billedligt og bogstaveligt talt – så samfundet kan fortsætte eller hurtigt kan komme på benene igen, uanset hvor alvorligt et angreb der har ramt vores kritiske infrastruktur.
I et digitaliseret land som Danmark hvor det danske samfund og virksomheder er kritisk afhængige af virksomme it-platforme er det vigtigt at få sat fokus på, hvor sårbare vi er.
Angreb på energisektoren og andre myndigheder
NIS2 er andet bud på EU’s direktiv om netværks- og informationssikkerhed – deraf navnet.
En del af direktivet omhandler driftssikkerhed, oppetid og risikovurdering samt forebyggelse.
Med artikel 21 bliver det skåret ud i pap, at virksomheder, organisationer og institutioner, som har en kritisk samfundsmæssig rolle, reelt skal leve op til kravet om forretningskontinuitet.
Forestil dig, hvis et større vandværk, elnettet, DSB eller et af de større teleselskaber blev ramt af et kraftfuldt cyberangreb, som lægger systemet ned, så store dele af samfundet ikke har adgang til samfundskritisk infrastruktur.
Det er set ske i udlandet med succes, og senest i maj 2023 oplevede Danmark det hidtil mest omfattende cyberangreb mod energi-infrastrukturen, hvor et koordineret angreb mod udvalgte mål kunne have fået alvorlige følger.
Angriberne anvendte en kendt sårbarhed, og heldigvis var den pågældende SektorCERT (de kritiske sektorers cybersikkerhedscenter) dygtigt opmærksom, og sikrede at angrebet ikke fik alvorlig ødelæggende effekt.
Samme måned ramte et af de største koordinerede DDOS (Distributed Denial of Service) angreb med en hidtil uset styrke og kreativitet, en række myndigheder – herunder CFCS, Skatteministeriet og Forsvarsministeriet – med ustabil drift til følge.
Angrebet var ikke i sig selv ødelæggende, blot forstyrrende, men et hovedformål med et angreb på et land er at svække tilliden til infrastruktur, så det er ikke usandsynligt at det pågældende angreb var en test af, om dette ville kunne lade sig gøre.
Der er altså tale om en reel trussel.
Business as usual (?)
Så hvad betyder det i praksis? Virksomheder og organisationer, som skal efterleve NIS2’s artikel 21, skal tage deres forholdsregler og fjerne så mange risici som muligt for, at et cyberangreb kan betyde katastrofal nedetid, så samfundet ikke skal vente uger på at komme op at køre igen.
Organisationernes risikohåndterings-planer og risikovurderinger skal være på plads, ligesom data governance- og forretningskontinuitet-planer skal være velimplementerede
Det handler som altid i sikkerhedsspørgsmål om at være forberedt på, at det værste kan ske. For NIS2-underlagte virksomheder gælder, at de skal have en nøje gennemtænkt og gennemtestet plan B, så de kan opretholde deres serviceniveau - herunder have en effektiv, sikker og umiddelbart tilgængelig adgang af deres data.
Og i en verden hvor 80 procent af vores forretningskritiske data ligger i skyen – i Danmark ofte i den blå Azure-sky – er det kun så meget desto vigtigere:
Hvis et ransomware-angreb målrettet går efter Microsoft Entra ID (tidligere kendt som Azure AD), kan organisationer blive låst ude af Office 365 – og hvis din backup af Microsoft 365 ligger i Azure, så er du lige vidt, fordi din backup og dine operationsdata ligger på samme netværk.
Derfor er backup og disaster recovery en aktiv del af direktivet, og bør være en meget aktiv del af organisationens cyber-strategi.
Uanset om I er underlagt NIS2, er leverandør til en virksomhed eller organisation som er, (eller enhver anden for den sags skyld), bør I sikre at backup og beredskabsplaner er på plads.
Vigtigst er faktisk, at begge dele er off-site: At organisationens backup ikke ligger på samme netværk som resten af organisationens data.
Det samme gælder for beredskabsplaner, så de kan tilgås i tilfælde af et alvorligt angreb – ud fra devisen, at det ikke hjælper at have verdens bedste recovery plan, hvis den ligger på den harddisk, som nu er krypteret af kriminelle eller fremmede magter.
Klummer er læsernes platform på Computerworld til at fortælle de bedste historier, og samtidig er det vores meget populære og meget læste forum for videndeling.
Har du en god historie, eller har du specialviden, som du synes trænger til at blive delt?
Læs vores klumme-guidelines og send os din tekst, så kontakter vi dig - måske bliver du en del af vores hurtigt voksende korps af klummeskribenter.