Sådan holder du NIS2 i live - 5 råd til vedvarende informationssikkerhed

"Indgangsbønnen til arbejdet med informationssikkerhed og NIS2 er, at det ikke er et projekt. Når vi har sagt, nu er vi ved vejs ende, så starter vi forfra. Vi skal evaluere, forbedre os og rette til.”Sådan siger Marie Bjerre Simonsen, ekspert i informationssikkerhed fra Wired Relations. 

Her giver hun 5 gode råd til, hvordan du får NIS2 (og din informationssikkerhed) til at leve efter implementeringen.

1. Årshjulet er vejen til struktur – og ro i sindet

Det gode råd: Skab struktur gennem et centralt årshjul, der indeholder alle årets opgaver. 

Hvordan: Det bedste er at bygge et årshjul op nedefra - en opgave ad gangen. Det kræver, at medarbejderne har mulighed for at lægge opgaver ind i et system, og at det hele samles centralt.

‍
"Der er nogle løbende ting, vi skal igennem hvert år, for at vi kan monitorere vores sikkerhed, følge med og passe på vores organisation. Det er det, vi taler om, når vi siger årshjul."

Gode ressourcer:

• Vil du have et eksempel på et komplet årshjul? Tilmeld dig vores nyhedsbrev og få et tilsendt.
• Hjælp til at sikre et godt årshjul? Læs artiklen: Sådan får I styr på de årlige compliance-opgaver

2. Dine leverandører er den største trussel – følg op igen og igen

Det gode råd: Leverandørstyring er ikke en “one-and-done”. Der skal være tilsyn og kontrol – og det skal justeres efter leverandørens risikoprofil. 

Hvordan: Systematik er nøgleordet. Sørg for altid at have en plan for tilsyn med den enkelte leverandør og have det som en gentagen opgave i årshjulet. 

Planen skal indeholde risikoprofilen, metoden og timingen af tilsynet.

"Det er lidt hovedløst at stille en hel masse krav til sine nye leverandører, hvis man alligevel ikke har tænkt sig at følge op på det."

Gode ressourcer: 

• E-bog: Strategisk leverandørstyring: Opnå pålidelige partnerskaber
• Se, hvordan du løser de 10 største udfordringer i leverandørstyringen

3. Sørg for, at awareness-programmet højner sikkerheden

Det gode råd: Vi oplever, at mange glemmer at videreudvikle og målrette deres awareness-programmer – og det er en fejl.

Hvordan: Brug erfaringer fra dine konkrete risikovurderinger og sikkerhedshændelser til at skræddersy træningen. Sæt tid af mindst én gang om året til at gennemgå awareness-programmet og gør det skarpere.

"Det er vigtigt, at man ikke bliver ved med at gøre ting, bare fordi man skal. Det er vigtigt at tage stilling til, om det virker. Rammer vi rigtigt?"

4. Gør risikovurderinger til en kontinuerlig disciplin

Råd: En risikovurdering er ikke en engangsøvelse. Risici skal revurderes løbende - især når der sker ændringer i systemer, leverandører eller trusselsbilledet. 

Hvordan: Når du laver en risikovurdering, er det en god ide at beslutte, hvornår den skal genbesøges - og få opgaven ind i årshjulet.

"Det er ikke nok, at man har lavet risikovurdering en gang. Man kan ikke bare sige: Tjek, det var vel nok herligt, så er vi fri for det. Det er jo noget, der er ongoing."

Gode ressourcer:

• Få styr på risikostyringen med dette webinar
• Risikostyring - en guide til dig, der arbejder med informationssikkerhed

5. Sørg for at ledelsen er medspillere - hele vejen

Det gode råd: Ledelsen har ansvaret for informationssikkerheden. Sørg for, at de bliver involveret og tager ansvar.

Hvordan: Det bedste er at sikre løbende kommunikation og afrapportering, så ledelsen er med til at justere kursen. 

"Ledelsen skal være orienteret, de skal kunne træffe beslutninger på et oplyst grundlag, som de i øvrigt også forstår og kan forholde sig til."‍