Hvad er formålet med NIS2?
Formålet med NIS2-direktivet er at højne cybersikkerheden i den kritiske infrastruktur i EU til et niveau, der svarer til den digitalisering, vi har på tværs af medlemslandene og til det trussels- og risikobillede, vi ser i dag.
NIS2 sigter mod at forstærke cybersikkerheden inden for EU gennem klare ansvarsområder, effektiv planlægning og øget samarbejde. Det omfatter oprettelsen af nationale myndigheder og planer for kriseberedskab samt etableringen af EU-CyCLONe, som er et netværk til koordinering af reaktioner på store cybersikkerhedshændelser.
Hvad er det vigtigste at vide om NIS2?
Det er væsentligt at vide, at NIS2 er et direktiv, som forpligter en række virksomheder til at leve op til nogle sikkerhedskrav. Disse krav vil ofte ligge i direkte forlængelse af det informationssikkerhedsarbejde, der allerede pågår i de enkelte virksomheder.
Hvad er det nye ved NIS2 i forhold til det første NIS-direktiv?
Først og fremmest bliver langt flere virksomheder nu omfattet af NIS-kravene. Derudover stilles der langt større krav om ledelsesforankring og ledelsens kendskab til risikostyring, ligesom der er mulighed for direkte sanktioner mod topledelsen i organisationer, der ikke lever op til direktivets krav.
Hvilke NIS2-krav er de vigtigste?
Det er svært at pege på et område i NIS2, som er vigtigere end andre. Derimod må det forventes, at nogle af kravene i NIS2 vil fylde mere end andre. For eksempel er kravet om forsyningskædesikkerhed en stor og ressourcetung opgave, hvor virksomhederne måske i forvejen halter bagefter med at få stillet de rigtige krav til leverandørerne.
Hvilke krav skal jeg stille til mine leverandører, og hvordan ved jeg, hvilke jeg skal være særligt opmærksom på?
De krav, du skal stille, afhænger af hvilken leverandør, der er tale om. Er det en leverandør, der leverer kritiske produkter, tjenester og løsninger til virksomheden, skal der stilles strengere krav, end hvis det var en uvæsentlig leverandør. Der kan blandt andet stilles krav til, at leverandøren skal foretage sikkerhedsvurderinger af sine produkter og tjenester for at identificere eventuelle sårbarheder og risici.
Derudover bør der stilles krav til, at leverandøren skal implementere passende sikkerhedsforanstaltninger for at beskytte produkter og tjenester mod cyberangreb. Det kan være foranstaltninger såsom krav til patchning, anvendelse af firewall, anvendelse af kryptering samt sikker opbevaring af data.
Hvordan vil myndighederne føre tilsyn med NIS2?
Det fremgår af NIS2 direktivet, at hver medlemsstat skal udpege eller oprette en eller flere myndigheder til at varetage tilsynsopgaven på cybersikkerhedsområdet. I Danmark er den opgave blevet tildelt Center for Cybersikkerhed.
Vi ved endnu ikke helt, hvordan tilsynsopgaven kommer til at blive udmøntet i praksis, men det står i direktivet, at myndighederne skal føre tilsyn med både vigtige og væsentlige virksomheder, men at tilsynsmetoden bør være forskellig. Det fremgår, at væsentlige virksomheder bør være underlagt en omfattende, forudgående og efterfølgende tilsynsordning, mens vigtige virksomheder bør være underlagt en lettere, rent efterfølgende tilsynsordning.
Hvad betyder det, hvis en virksomhed siger, at den har to systemer, som er underlagt NIS2?
Det behøver ikke nødvendigvis at være hele virksomheden, der er underlagt NIS2 kravene. Såfremt det kun er en del af virksomheden (og dennes ydelser), der anses for at være kritisk infrastruktur, vil det kun være systemer, der understøtter den del af forretningen, der er omfattet.
Hvad er forholdet mellem NIS2 og ISO27001/ISO27002?
ISO27001/02 er internationale standarder inden for informationssikkerhed og har på samme måde som NIS2 til formål at højne sikkerhedsniveauet i organisationer.
ISO27002 er en vejledning til, hvilke foranstaltninger en virksomhed med fordel kan implementere, hvorimod NIS2 er en lovgivning (direktiv), hvoraf det fremgår at en række foranstaltninger skal implementeres. Der er et stort overlap i forhold til de sikkerhedsforanstaltninger, der arbejdes med i ISO regi og i NIS2.
I NIS2 direktivet står det direkte, at virksomheder anbefales at tage udgangspunkt i en allerede kendt standard i forhold til informationssikkerhedsarbejdet for at sikre en struktureret tilgang til risikovurderingsarbejdet. Her nævnes ISO27000-serien som et eksempel.
Hvordan kan man strømline og automatisere NIS2-compliance?
Det er væsentligt at få skabt et overblik og en systematik omkring sit sikkerhedsarbejde.
Automatisering af arbejdet omkring NIS2 kan gøres mere effektivt med værktøjer som Wired Relations ISMS-modul, som netop skaber det fornødne overblik, struktur og kontrol. Dette inkluderer funktioner, der giver overblik over systemer/leverandører, status på implementering af sikkerhedsforanstaltninger, risikostyring, hændelsesstyring og dokumentation for at sikre overholdelse og forbedre den overordnede cybersikkerhed.
Understøtter Wired Relations alle kravene i NIS2?
Wired Relations understøtter arbejdet med NIS2 foranstaltningerne i forlængelse af det eksisterende informationssikkerhedsarbejde. Man får et godt overblik over, hvor langt man er kommet med implementeringen af de enkelte foranstaltninger og de kontroller, der knytter sig hertil. Man kan således undgå dobbeltdokumentation samt lave rapporteringer målrettet NIS2.
Med Wired Relations kan man desuden invitere ledelsen ind i systemet, så de kan få overblik over den del af arbejdet, der er relevant for dem og selv få tildelt opgaver. Det kan sikre forankring.
Wired Relations understøtter også kravet om at foretage risikovurderinger ud fra et samfundsmæssigt perspektiv.
Alt i alt understøtter Wired Relations de kendte krav, men vi har hele tiden udvikling af løsningen for øje og følger udviklingen af NIS2 tæt.
Webinar: NIS2 – Hvordan kommer vi i mål
I et webinar har vi sammen med Malene Stidsen, Programchef for Cybersikkerhed i Industriens Fond og Jacob Herbst, CTO i Dubex og medlem af det Nationale Cybersikkerhedsråd taget temperaturen på NIS2. Vi snakker blandt andet om, hvad regeringens udskydelse af implementeringen betyder, og om NIS2 "bare" er papir og compliance.
Lyt til det nu, hvis du interesserer dig for NIS2 og vil have en status på, hvor andre er – samt vide, hvordan du selv skal forholde dig.
