Forstå NIS2 vejledning om cybersikkerheds-foranstaltninger nu

I et webinar gennemgår Marie Bjerre Simonsen og Jacob Høedt Larsen fra Wired Relations vejledningen i et praktisk perspektiv

“Det er faktisk sådan en vejledning, hvor det ville være en rigtig god ide at få den printet ud.” 

“Ja, det vil jeg helt klart også gøre.”

‍

Sådan lyder en ordveksling mellem Jacob og Marie i webinaret: “Den nye vejledning om cybersikkerhedsforanstaltninger i NIS2.”

Den nye vejledning indeholder nemlig, ifølge de to, en lang række gode, praktiske værktøjer for dem, som er i gang med at implementere NIS2.

{{factbox-dark}}

Her har du de tre værktøjer:

Grundig vejledning om de 10 (21) krav i NIS2-loven

Styrelsen har valgt at tage de 10 foranstaltninger i selve NIS2-lovens § 6, stk. 1, og splitte dem op i 21 forskellige punkter.

Det giver god mening, siger Marie Bjerre Simonsen.

“Jeg kan godt kan lide, at man faktisk har brudt kravene lidt ned. [...] Det gør det lidt mere operationelt at arbejde med.”

Det betyder, at vejledningen nu består af følgende foranstaltninger:

• Politik for informationssystemsikkerhed
• Politik for risikostyring
• Håndtering af hændelser
• Logning og monitorering
• Driftskontinuitet
• Backup
• Redundans
• Krisestyring
• Forsyningskædesikkerhed
• Erhvervelse, udvikling og vedligeholdelse
• Håndtering af sårbarheder
• Vurdering af effektiviteten af de implementerede foranstaltninger
• Tekniske tests
• Cybersikkerhedspraksisser
• Cybersikkerhedsuddannelser
• Kryptografi
• Personalesikkerhed
• Adgangskontrol
• Forvaltning af aktiver
• Multifaktorautentificiering
• Nødkommunikationssystemer

De enkelte foranstaltninger er opdelt i afsnit med formål, foranstaltning og dokumentation. Det gør vejledningen nem at læse, og dem der tidligere har arbejdet med standarder inden for informationssikkerhed vil også nikke genkendende til strukturen.

“Skal, bør”-krav og “kan”-anbefalinger

Styrelsen har også valgt systematisk at bruge betegnelserne “skal”, “bør” og “kan” i vejledningen. Det er også en stor hjælp i praksis.

Metodikken er enkel:

• Når der står SKAL, er det krav, som altid skal indføres.
• Når der står BØR, kan man undlade at indføre kravet, hvis man har en god grund og dokumenterer den.
• KAN-anbefalingerne derimod er inspiration for dem, der ønsker en højere sikkerhed.

De forskellige krav og anbefalinger står lidt hulter til bulter i selve vejledningen, så man skal være meget opmærksom på, om der står skal, bør eller kan ved det enkelte krav.

Man kan også gøre, som vi har gjort i Wired Relations, og skille vejledningen ad og liste kravene i hver sin gruppe. Det giver et bedre overblik.

Mapping til standarder (blandt andet ISO 27001)

Man bliver ikke automatisk NIS2-compliant ved at følge en standard, men, “...det at følge en standard er en hjælp til efterlevelse,” som der står i vejledningen.

Der er da heller ingen tvivl om, at man er kommet langt, hvis man eksempelvis følger ISO 27001/2-standarden.

Derfor har styrelsen valgt at hjælpe ved at mappe de 21 foranstaltninger op mod en række standarder. Du finder følgende standarder i vejledningen:

• DS/EN ISO/IEC 27001:2023 Informationssikkerhed, cybersikkerhed og privatlivsbeskyttelse – Ledelsessystemer for informationssikkerhed – Krav
• NIST CSF 2.0 National Institute of Standards and Technology (NIST) Cybersecurity Framework (CSF) 2.0
• DS/IEC 62443-2-1:2011 Industrielle kommunikationsnetværk – Netværks- og systemsikkerhed – Del 2-1: Etablering af et sikkerhedsprogram til industrielle automations- og styringssystemer
• DS/EN IEC 62443-3-3:2019 Industrielle kommunikationsnetværk – Netværks- og systemsikkerhed – Del 3-3: Systemsikkerhedskrav og sikkerhedsniveauer
• EECC - Guideline on security measures under the EECC, 4th Edition, 2021
• ETSI EN 319 401 Electronic Signatures and Infrastructures (ESI); General Policy Requirements for Trust Service Providers V2.3.1, May 2021

Man skal være opmærksom på, at vi i Danmark går efter en minimumsimplementering af NIS2. Det er mapningen også et udtryk for, og det betyder, at styrelsen i mapningen henviser til de overordnede punkter i eksempelvis ISO27001, selvom der også er andre dele af ISO’en, der handler om det samme.

Hos Wired Relations har vi valgt den tilgang at bruge styrelsens mapning og så komme med en række forslag til yderligere punkter, som omhandler det samme.

Eksempelvis henviser vejledningen til punkt 5.24 i ISO 27002 i forhold til hændelseshåndtering, men man kunne også argumentere for at disse områder kunne have været med:

5.25: Vurdering af og beslutning om informationsikkerhedshændelser

5.26: Håndtering af informationssikkerhedsincidents

5.27: Læring fra informationssikkerhedshændelser

5.28: Indsamling af bevismateriale

6.8: Indrapportering af informationssikkerhedshændelser

I det hele taget er vejledningen et godt værktøj både til dem, der skal starte mere eller mindre fra bunden og de mere erfarne, som måske allerede har implementeret eksempelvis ISO 27001.