Vigtige pointer fra NIS2-vejledning om hændelsesunderretning
Den nye NIS2-vejledning om hændelsesunderretninger gør det nemmere at vurdere, hvornår en hændelse er væsentlig – og dermed indberetningspligtig. Få eksperternes input til, hvordan du forbereder en effektiv procedure for hændelsesunderretning.
.jpeg)
Gry Josefine Løvgren er content specialist hos Wired Relations, hvor hun formidler viden om GRC, databeskyttelse og cybersikkerhed på vores blog og sociale medier. Med en journalistuddannelse fra Roskilde Universitet og solid erfaring gør hun komplekse emner både engagerende og letforståelige.
Læs mere fra forfatteren“Jeg synes, der kommer nogle rigtig gode eksempler på, hvad der menes, når vi siger væsentlig hændelse".
Sådan indleder Wired Relations informationssikkerheds ekspert Marie Bjerre Simonsen et webinar om Styrelsen for Samfundssikkerheds seneste skud på stammen inden for NIS2-vejledninger – hændelsesunderretninger.
“Der er mange discipliner i en hændelseshåndtering, så når en hændelse finder sted, kan man godt få travlt, og det kan føles større end først antaget,” siger hun.
Men som NIS2 omfattet skal man altså ikke længere kun fokusere på sin egen forretning, men også afse tid til at indberette til den sektoransvarlige myndighed. Det gælder ved såkaldte ‘væsentlige hændelser’, der omfatter driftsforstyrrelse, økonomisk tab eller fysisk skade. Og det er altså disse tre, der ifølge Marie er blevet godt uddybet i vejledningen i forhold til i selve NIS2-direktivet.
“Det er jo en målsætning med NIS2 at skabe den her fælles sikkerhed. Det er lidt ligegyldigt for den enkelte virksomhed, for egoistisk set vil man hellere bruge sin energi på at komme op og køre efter en hændelse end at informere andre om det. Men her kommer dette andet hensyn tydeligt frem,” siger Jacob Høedt Larsen, Wired Relations' vært på webinaret.
“Underretning af hændelser, trusler og nærved hændelser er værdifulde, fordi de muliggør hurtig reaktion, styrker vidensdeling om trusler og øger den samlede cybersikkerhed på tværs af sektorer og lande,” som der står i vejledningen.
Få fastlagt en procedure hurtigst muligt
Med NIS2 er det op til den enkelte virksomhed at vurdere, hvornår en hændelse er væsentlig. Men hvem er det præcist, der skal beslutte, hvornår der er tale om en alvorlig hændelse? Det står stadig uklart, mener Jacob og Marie, der peger på, at det typisk vil være dem, der arbejder med informationssikkerhed til dagligt, suppleret af nogle teknikere.
“Selvom jeg er vant til at sidde og arbejde med informationssikkerhed, så vil jeg jo ikke nødvendigvis være i stand til at vurdere en hændelse på et eller andet givent system, hvor der er noget, der fejler – en eller anden konfiguration. Det vil jeg jo slet ikke have teknisk indsigt i, så jeg tror, at der vil være en blanding af personer, der skal ind over. Det vil udmunde i en indledningsvis vurdering, og så tror jeg, at man lige skal have den eskaleret opad,” siger Marie.
Dog vurderer hun, at det kan være en udfordring at have de rette kompetencer til stede på det givne tidspunkt, i og med at det skal gå så hurtigt, som det skal. Derfor er det helt essentielt at have fastsat en god procedure for hændelsesunderretninger på forhånd.
{{factbox-light}}
Her er Marie og Jacobs råd til en procedure for hændelsesunderretninger:
- Kortlæg hvilke systemer, der skal underrettes om. Det er nemlig ikke alle systemer, der er omfattet af kravet om hændelsesunderretning, men kun de systemer, der understøtter de ydelser, der gør, at I er omfattet af NIS2.
- Beslut, hvilke mennesker, der skal være med til at træffe beslutninger om hændelsens karakter, og hvordan I får det til at fungere i praksis.
- Definer hvor jeres grænser går for henholdsvis driftsforstyrrelse, økonomisk tab eller fysisk skade.
- Beslut, hvad der skal til for, at en hændelse aktiverer en beredskabsplan.
Se hele webinaret om hændelsesunderretninger
Se webinaret, hvor Marie Bjerre Simonsen og Jacob Høedt Larsen gennemgår NIS2-vejledningen om hændelsesunderretninger.
.jpg)