Det nye Net- og Informationssikkerhedsdirektiv (NIS2-direktivet) skal bidrage til at styrke cyber- og informationssikkerheden på tværs af EU's medlemslande.
Direktivet er en opdatering af det oprindelige NIS direktiv, som blev indført i 2016, og er udviklet som en respons på den stigende trussel mod europæiske informationssystemer og -netværk. Direktivet betyder at en række sektorer i medlemslandene fra juli 2025 vil blive underlagt skærpede krav til deres håndtering af cyber- og informationssikkerhed. Det gælder sektorer med samfundskritisk infrastruktur, der blandt andet omfatter sektorer som energi, transport, sundhed og finans m.fl., og hvor et nedbrud eller et angreb kan have alvorlige konsekvenser for samfundet.
Med NIS2 følger en række krav:
Et godt udgangspunkt for arbejdet med NIS2 er standarder. Det fremgår også af direktivets artikel 25, hvor medlemsstaterne tilskynder til at benytte europæiske og internationale standarder og tekniske specifikationer for at gennemføre de minimumskrav, der er nævnt i direktivets artikel 21.
Standarder er et rammeværktøj, der kan hjælpe med at strukturere de processer, der er nødvendige for at imødekomme visse krav i NIS2-direktivet. ISO/IEC 27001 er en anerkendt ledelsesstandard for informationssikkerhed, som er bredt anvendt i hele verden. Standarden er en struktureret tilgang til at arbejde med informationssikkerhed og dækker emner som risikostyring, ledelsesforankring og sikkerhedsforanstaltninger, som NIS2 har fokus på.
Udover ISO/IEC 27001 findes der en række andre standarder i samme serie, som også rummer inspiration til arbejdet med NIS2. Særligt relevant er henholdsvis ISO/IEC 27002 og ISO/IEC 27005. ISO/IEC 27002 er en vejledning til foranstaltninger til informationssikkerhed. De virksomheder, der skal arbejde med NIS2, kan finde inspiration til deres arbejde med bl.a. hændelseshåndtering, basal cyberhygiejne og driftskontinuitet i denne standard, som uddyber implementering af førnævnte områder sammen med lang liste over øvrige sikkerhedsforanstaltninger. ISO/IEC 27005 er en vejledning til risikostyring og håndtering af informationssikkerhedsrisici. Da et af grundelementerne i NIS2 er den risikobaserede tilgang, vil det derfor være oplagt at kigge i ISO/IEC 27005, der hjælper virksomheder og organisationer med at etablere sådan en proces for risikostyring.
Standarder er ikke kun en hjælp til at komme i gang med NIS2, men er også en oplagt mulighed for at komme på forkant med sikkerhedsarbejdet helt generelt og blive mere modstandsdygtig overfor cybertrusler.
På dette to-dages kursus i informationssikkerhed får du en detaljeret gennemgang af EU’s NIS2-direktiv, hvor vi samtidigt har fokus på, hvordan organisationer kan leve op til direktivet i praksis med ISO/IEC27001 - ledelsessystem for Informationssikkerhed. Bl.a. gennemgår vi de forskellige faser af implementeringen af et ledelsessystem for informationssikkerhed, hvor du får nærmere indblik i de områder, hvor NIS2 kræver ekstra tiltag.
Dette kursus stiller skarpt på topledelsens rolle og ansvar for informationssikkerhed – blandt andet i forbindelse med implementeringen af NIS2. Kurset sikrer viden samt vurdering af cybersikkerhedsrisici, herunder processer for styring af it- og informationssikkerhed.
ISO 27001 er en international ledelsesstandard for informationssikkerhed. Standarden er et styringsværktøj, der hjælper virksomheder til at beskytte værdifulde informationer - herunder persondata - på en sikker og troværdig måde.
ISO/IEC 27002 er en vejledning i at udvælge foranstaltninger i forbindelse med implementering af et ledelsessystem for informationssikkerhed.
ISO/IEC 27005 er en vejledende standard, der hjælper organisationer med at etablere en proces for risikostyring.
Standarden for privatlivsbeskyttelse, ISO/IEC 27701, er et ledelsesværktøj, som giver indblik i de arbejdsgange og foranstaltninger, som organisationer bør etablere for at opnå en passende beskyttelse af personoplysninger.