NIS2 i fokus: Lynrunde med eksperterne

Jens Rasmussen, founder af Darc Advice

Hvad optager dig mest lige nu i forhold til NIS2?

Om virksomheder formår at ramme det rigtige niveau i implementeringen af kravene i NIS2 pga. utydelige retningslinjer fra myndighederne og en generel manglende forståelse for, hvor meget det kræver at imødekomme og opretholde kravene.

Hvordan kan virksomhederne bedst forberede sig på de kommende krav?

Ved at anerkende, at flere af kravene i NIS2 allerede er/burde være en del af virksomhedens kapabiliteter og få lavet en analyse af risikovilligheden i ledelsen. Det er centralt, at denne indsat sker med udgangspunkt i virksomhedens strategi og generelle risikoeksponering.

Med lovforslaget lægges der op til, at alle systemer i en virksomhed omfattes – ikke kun specifikke, kritiske systemer. Hvordan kan det påvirke virksomhedernes planer og tilgang til arbejdet?

Hvis ikke virksomheden allerede har styr hvilke systemer der anvendes, og den gensidige afhængighed mellem systemer, så er det på tide at få etableret processer for det. Dette overblik er centralt for at kunne prioritere både den proaktive indsats og reaktion på eventuelle hændelser.‍

Hvad ser du som virksomhedernes største udfordringer i forhold til at implementere NIS2?

At NIS2 anskues isoleret fra, hvad der ellers er og kommer af krav til digital sikkerhed og cyber resiliens. Det gælder om at bygge solide generelle kapabiliteter og sikre forankring i det tekniske domæne (enten egne eller via partnere). Projektorienterede og tandløse ”papirtigere” er en udforing, som virksomhederne bør undgå.

Hvordan kan man bedst sikre et effektivt samarbejde mellem afdelinger for at komme i mål med NIS2?

Ved at koncentrere indsatsen og mandatet og afstemme det med virksomhedens yderligere risikomitigerende tiltag og organisationer, f.eks. Enterprise Risk Management. Desuden bør virksomhederne via yderligere fokus på uddannelse sikre sig det rette mix af kapacitet indenfor de nødvendige kapaciteter.

‍

Asbjørn Hoffskov Lund, CISO-konsulent i Unitas

Hvad optager jer mest lige nu i forhold til NIS2, og hvordan forbereder I jer på de kommende krav?

Lige nu afventer vi i spænding de sektor-specifikke bekendtgørelser og vejledninger for at kunne komme endnu tættere på den konkrete hverdag hos vores kunder – og så naturligvis arbejdet med at afdække i hvor høj grad kunderne er omfattet direkte, indirekte eller hvordan sandsynligheden er for tilsyn og krav fra kunder.

Med lovforslaget lægges der op til, at alle systemer i en virksomhed omfattes – ikke kun specifikke, kritiske systemer. Hvordan påvirker dette jeres planer og tilgang til arbejdet?

Det taler jo meget fint ind i vores tilgang om, at det her ikke handler om IT-systemer og tekniske nørderier, men at der er tale om en forretningsdisciplin og forretningsrisici – så her understøtter loven egentligt den rådgivningstilgang vi har til dagligt

Hvad ser du som virksomhedernes største udfordringer i forhold til at implementere NIS2?

Set med et konsulentperspektiv, så er den største udfordring at få skubbet NIS2 højt nok op i forretningen, så det ikke alene bliver noget IT skal fikse og drive. NIS2 kommer nemt til at konkurrere med andre forretningsinitiativer, hvis det alene bliver anset som et projekt og ikke en byggesten i en digital hverdag.

Hvordan sikrer I, at samarbejdet mellem afdelinger fungerer effektivt i forhold til at komme i mål med NIS2?

Kommunikation, kommunikation og mere kommunikation. For os handler det om at få alle de relevante fagligheder i spil, så NIS2 bliver forankret i hele forretningen, og at de løsninger der bliver bragt på bordet giver mening og værdi gennem hele organisationen, så det bliver mere end ”check-the-box compliance”.

‍

Morten Skanderup Jørgensen, Global Head of Security i Blue Water Shipping

‍

Hvad fylder hos jer lige nu i forhold til NIS2, og hvordan forbereder I jer på de kommende krav?

For Blue Water Shipping er det dokumentationen, der fylder mest. Da vi gennemgik, hvad vi gjorde, var vi egentlig rigtigt godt med, men det har vist sig vanskeligt at få skabt forbindelse mellem de forskellige afdelinger. For eksempel så er HR processer koblet til IT, mens indkøb skal kobles til IT. Det har betydet, at vi har set det som en nødvendighed at "fjerne" de siloer, der ofte ses i arbejdet med sikkerhed, hvor der er en IT del og en fysisk del, der opererer i hver sin silo.

Et eksempel kan være, at vi på den fysiske del skal bruge CCTV på en given lokation. Denne løsning skal kobles til IT, og vi er derfor nødt til at se på både indkøbsproces og politik, teknisk sikkerhed og lovgivning omkring overvågning, GDPR osv.

Vi er ligeledes begyndt at se mere ind i at skabe en modstandsdygtig organisation, hvor vi skal opbygge kapacitet til at kunne modstå den virkelighed, vi befinder os i. Så helt overordnet er vores fokus at opbygge kapacitet til at skabe en robust sikkerhedstilgang.

Med lovforslaget er der lagt op til, at det er alle systemer i en virksomhed, der omfattes, og ikke kun specifikke, kritiske systemer. Hvordan påvirker dette jeres planer og tilgang til arbejdet?

Det ændrer ikke så meget for os, da vores IT afdeling allerede har et godt overblik over applikationer og systemer. Det, der kommer til at fylde, er selve risikovurderingen og kontrol med leverandører af kritiske systemer. Men på system siden så er vi tilfredse med det overblik vi har. Vi har fået lagt alle vores leverandører i system og kategoriseret dem.     

Hvad ser du som de største udfordringer i at implementere NIS2 i en virksomhed som jeres?

NIS2 er helhedsorientret, og denne helhed skal vi have integreret i en organisation, hvor for eksempel HR, indkøb eller andre afdelinger ikke har været vant til at skulle tænke sikkerhed. Forstået på den måde, at det var jo noget sikkerhedsafdelingen tog sig af. 

Så vi står med et videnshul, der skal udfyldes samtidig med, at vi implementerer sikkerhedstiltag. Det at få skabt en forbindelse mellem de forskellige afhængigheder, der er indenfor sikkerhed, kan opleves som en vanskelig disciplin, da de fleste organisationer traditionelt har været vant til at sikkerhed var en disciplin for sig selv. Det er det ikke længere. NIS2 skal sikre organisationen som helhed, hvilket kun sikres ved at få skabt robuste processer, hvor det dokumenteres, hvem der gør hvad og hvornår. 

Hvordan sikrer I, at samarbejdet mellem afdelinger fungerer effektivt i forhold til at komme i mål med NIS2?

Vi har etableret et koordinationsforum med det formål at skabe et samarbejde på tværs af flere fagligheder. Det har vist sig at kunne bidrage med at få etableret tiltag, der beskytter på mere end system niveau, men også på process og personel. 

Dette kan vi kun, fordi vi har mulighed for at tildele opgaver på tværs af fagligheder, forstået således, at hvis IT opdager en uhensigtmæssighed I en process mellem HR og IT, så kan de tildele en opgave således at “hullerne” lukkes i samarbejde. Det betyder, at vi kan dække det, der kendes som People-Process-Technology fra et enkelt system. At arbejde med sikkerhed har aldrig været noget, der kun eksisterer i en sikkerhedsafdeling, selvom mange anskuer det sådan. Sikkerhed er alles ansvar, og alle vil potentielt kunne være del af en kritisk proces. Vi skal derfor lære at slippe tanken om at sikkerhed kun lever i IT eller sikkerhedsafdelingen. Sikkerhed er en gennemgående del af alle virksomheder – fra en kollega ansættes til de pensioneres. 

‍

‍