Er du klar til NIS2 og de nye krav til cyber- og informationssikkerhed?
Foto: Jacob Nielsen

05. september 2023

Er du klar til NIS2 og de nye krav til cyber- og informationssikkerhed?

Skærpede krav og flere regler for flere virksomheder end tidligere – det er blandt konsekvenserne, når det noget mere omfattende NIS2-direktiv træder i kraft fra oktober 2024. Men i sidste ende betyder det også større sikkerhed for langt de fleste. Og standarder, som ISO/IEC 27001, kan hjælpe virksomheder godt i gang med implementeringen af direktivet, mener bl.a. IT Compliance Manager i Københavns Lufthavne.

I takt med at teknologi udvikler sig med lynets hast, og digitalisering fylder mere og mere, kommer cyber- og informationssikkerhed højere op på dagsordenen hos danske virksomheder – og det vil kun fortsætte. For som virksomhed er og bliver cyber- og informationssikkerhed forretningskritisk. Og til oktober næste år bliver en lang række virksomheder og organisationer omfattet af det nye NIS2 (net- og informationssikkerhedsdirektivet), som skal være med til at beskytte virksomheden selv, dens omverden og kunderne.

Det er meningen, at NIS2 skal sikre, at cyber- og informationssikkerhed på tværs af EU foregår på de samme præmisser – det vil sige, at direktivet opstiller en række minimumsforpligtelser for risikostyring, rapportering og hændelseshåndtering. NIS2-direktivet adskiller sig fra det oprindelige NIS, der kom i 2016, og derfor er det ifølge Majken Prip, der er konsulent hos Dansk Standard, vigtigt, at virksomheder og organisationer sætter sig ind i, hvad det helt konkret kommer til at betyde for dem hver især.

- Det første direktiv var ikke implementeret ens på tværs af medlemslandene. Virksomhederne, som var omfattet dengang, stod derfor overfor vidt forskellige krav alt afhængigt af land, hvilket ikke var i overensstemmelse med direktivets oprindelige formål. Håbet er, at det nye direktiv strømliner kravene, samtidig med at det giver et større fokus på forsyningskæder, leverandørforhold og ledelse, forklarer hun.

Er du klar til NIS2 og de nye krav til cyber- og informationssikkerhed?
Foto: Jacob Nielsen

Forsyningskæder i fokus

Netop forsyningskæder og dermed leverandører kommer i fokus, og det er én af grundene til, at direktivet omfatter flere virksomheder end før – fordi virksomheder med kritisk infrastruktur vil skulle stille de samme krav til sine leverandører, som de selv er underlagt.

- Nogle virksomheder kan sagtens være gode til cyber- og informationssikkerhed allerede, mens andre kan være helt grønne. Helt grundlæggende vil det betyde ret store forandringer for rigtig mange virksomheder og organisationer, fordi NIS2-direktivet stiller mere omfattende og mere specifikke krav end før, siger Majken Prip og understreger, at selvom mange virksomheder allerede arbejder med cyber- og informationssikkerhed, så vil det sandsynligvis skulle sættes mere i system, og der skal skabes klare processer – for det er primært her, kravene ligger.

Et sted, hvor man har god erfaring med netop dét, er Københavns Lufthavne, hvor IT Compliance Manager, Mette Andreasen, har været bannerfører for både det oprindelige NIS-direktiv, og nu er i gang med forberedelserne til NIS2.

- For os bliver det ikke et kæmpe skridt at gå fra NIS til NIS2. Jeg forstår godt, hvis nogen ser lidt vilde ud i øjnene, når de får at vide, at de skal underlægges sådan et direktiv – det gjorde vi da også første gang – men det giver god mening. Det er ”bare” mere af det, vi allerede gør, og nu skal vi tilbage og besøge risikovurderinger og kritikalitetsvurderinger for at se, hvor meget bredere vores scope skal være, fortæller hun

Er du klar til NIS2 og de nye krav til cyber- og informationssikkerhed?
Foto: Jacob Nielsen

Standarder kan hjælpe med at imødekomme krav i NIS2

I lufthavnen har man især lænet sig op ad standarder, som har hjulpet gevaldigt med at finde hoved og hale i de komplekse krav. Og det giver god mening ifølge Majken Prip fra Dansk Standard.

- Standarder er et rammeværktøj, der netop kan hjælpe med at strukturere de processer, der er nødvendige for at imødekomme visse krav i NIS2-direktivet, men også til at sikre, at virksomheder er på forkant med sikkerhedsarbejdet ift. at modstå eventuelle cyberangreb, siger hun.

I Københavns Lufthavne har de eksempelvis brugt ISO/IEC 27001, som er en international, anerkendt standard for ledelsessystemer og cyber- og informationssikkerhed.

- Det er et rigtig godt værktøj til at definere størrelsen på NIS-opgaven. Vi forbereder os på NIS2 ved at genbesøge det certifikat, vi fik i første omgang, som var afgrænset til én del af organisationen, og så genbesøger vi overblikket over risici, kritiske processer, systemer og aktiver og sørger for, at hele vores ledelsessystem bliver opdateret med de nye tiltag. På den måde skaber vi balance mellem lovkrav, risici og det, vi implementerer. Det skulle vi også gøre uden NIS2, fordi standarden stiller krav om løbende forbedringer også ift. efterlevelse af nye lovmæssige eller regulatoriske krav, forklarer hun.

En mere simpel måde at forklare en standard på er at kalde den en ’opskrift’,” påpeger hun.

- Standarden hjælper os helt ned på et step by step-format. Der er et hav af krav i direktivet, men standarden består af mere end 90 mitigerende foranstaltninger, som man kan lægge ned over de risici, man har identificeret. Så det er essentielt set en opskrift på, hvordan man kan tilgå det. Hvis man holder tungen lige i munden, så bliver det meget komplekse noget mindre komplekst med standarden i hånden, siger Mette Andreasen.

Cyber- og informationssikkerhed skal kobles til forretningsmålene

En anden vigtig pointe, når det kommer til komplekse direktiver og stramme lovkrav, er, at man skal huske sig selv på, hvorfor man som virksomhed er underlagt disse regler – for det er i sidste ende for alles skyld. Og derfor skal man have hele virksomheden med på vognen, ifølge Majken Prip.

- Det er afgørende, at cyber- og informationssikkerhed bliver koblet til forretningsmålene, og alle skal forstå, hvorfor man bruger penge og ressourcer på det. Det hele er vigtigt i forhold til, hvad man så gør, når uheldet rammer. Ledere skal i gang med at sætte sig ind i, hvilke risici de står overfor - det er et krav i direktivet, at ledelsen tager stilling og har de nødvendige kompetencer hertil, siger hun.

Og Mette Andreasen, er helt enig i den tilgang til sikkerheden og direktivet generelt.

- Man kan enten se NIS2 som et vilkår på baggrund af en lovtekst, som vi bliver dikteret - eller man kan konstatere at cyber- og informationssikkerhed er supervigtigt for os alle, og det i virkeligheden er på baggrund af sund fornuft, at vi skal indføre det. For selvfølgelig skal vi passe på vores data, og selvfølgelig skal vi have relevante foranstaltninger på plads – ellers kan vi ikke stå inde for en stabil drift. Og det, håber jeg, er det, som NIS2 kan hjælpe andre organisationer med, siger hun og slutter:

- Det hele skal give mening. Og det her direktiv giver rigtig god mening. Det er en løftestang for hele nationen for at få hævet cyber- og informationssikkerheden.

Du kan høre mere om NIS2, og hvordan man bedst forbereder sig på direktivet til DS Cyberdag den 5. oktober. 

Se også

11. december 2024

Se eller gense webinar om lancering af ny guide til EU’s cybersikkerhedskrav

Få en introduktion til en helt ny guide, der skal hjælpe SMV’er med at håndtere de lovkrav, der kommer fra EU i forhold til cyber- og informationssikkerhed.

Ny guide giver SMV’er værktøjer til at navigere i EU’s krav til cybersikkerhed

10. december 2024

Ny guide giver SMV’er værktøjer til at navigere i EU’s krav til cybersikkerhed

Med de mange cyberangreb på virksomheder, der har digitaliseret deres forretning, er cybersikkerhed blevet en nødvendig faktor. Alligevel mangler mange små og mellemstore virksomheder ressourcer og ekspertise til at tackle emnet, især med de nye l...

Dansk Standard afholdt succesfuld DS Cyberdag 2024

30. oktober 2024

Dansk Standard afholdt succesfuld DS Cyberdag 2024

Torsdag den 3. oktober afholdt Dansk Standard for tredje gang den populære DS Cyberdag – en begivenhed, der tiltrak over 600 deltagere (fysisk og online) fra både private virksomheder og offentlige organisationer. Den store interesse for DS Cyberd...

09. september 2024

Nye standarder under radioudstyrsdirektivet styrker cybersikkerhed

Se eller gense webinaret om de nye standarder under radioudstyrsdirektivet, hvor vi sætter fokus på, hvordan de styrker cybersikkerheden.