Picture10

NIS2: Et skærpet ledelsesansvar for IT-sikkerhed

Læs hvordan I kan automatisere dele af arbejdet med Stratos-AI®

Væksten i cyber-angreb har fået EU-kommissionen til at sætte fart på udvidelsen af NIS-direktivet, det såkaldte NIS2. Hermed bliver virksomhedsledelser fremover pålagt at arbejde systematisk med IT-sikkerhed og -dokumentation. Læs med og få et indblik i, hvad det kan betyde for jeres organisation, og hvordan I kan forberede jer på de kommende krav med Stratos-AI®.

 

Den kraftigt stigende digitalisering og dermed behov for øget Cyber-sikkerhed har fået EU-Kommissionen til allerede i år (10. november 2022)  at vedtage det nye NIS2-direktiv.

Direktivet skal styrke EU-virksomheders forsvar mod cyberangreb og er oprindeligt fra 2016. Det bliver nu udbygget til at omfatte en bredere vifte af sektorer og virksomheder, og det bliver udbygget med skærpede krav.

Direktivet skal være implementeret i dansk lovgivning senest 21 måneder efter, det træder i kraft.    

 

Hvem er omfattet af NIS2?

Det oprindelige NIS-direktiv var begrænset til at omfatte de største virksomheder i seks kritiske sektorer. Det nye NIS2 kommer til at omfatte en række nye sektorer og private aktører.

Du kan se Europakommissionens fulde liste over omfattede virksomheds- og organisationstyper her.

 

De nye krav med NIS2

Med det oprindelige NIS-direktiv blev det et krav for digitale virksomheder, der leverer kritisk infrastruktur i EU, at foretage en række definerede, interne sikkerhedsforanstaltninger for at styre sikkerhedsrisici og begrænse skaderne i tilfælde af en sikkerhedshændelse. 

Disse krav bliver altså nu udvidet til at gælde langt flere organisationer, og de skærpes nu med følgende områder:

  • Politikker for risikoanalyse og informationssikkerhed

  • Håndtering af hændelser

  • Driftskontinuitet og krisestyring (back-up mv.)

  • Forsyningskædesikkerhed, herunder leverandørstyring/-sikkerhed

  • Sikkerhed i forbindelse med erhvervelse, udvikling og vedligeholdelse af net- og informationssystemer

  • Politikker og procedurer til vurdering af effektiviteten af foranstaltninger til styring af cybersikkerhedsrisici

  • Retningslinjer for basal “computer hygiejne” og træning i cybersikkerhed

  • Politikker for brug af kryptografi og kryptering

  • Medarbejdersikkerhed, adgangskontrol og asset management

  • Sikring af interne kommunikationssystemer.

For organisationen vil det blive et krav, at man kan dokumentere, at der er gennemført dækkende og aktuelle risikovurderinger og implementeret sikkerhed målrettet risiko, trusler og sårbarheder.

Med andre ord, så skal et evt. lavt sikkerhedsniveau forklares med henvisning til en robust sikkerhedsvurdering.

 

Rapportering af væsentlige hændelser

Alle organisationer, der er omfattet af NIS2-direktivet, bliver pålagt at rapportere de ansvarlige myndigheder om hændelser, der har væsentlig betydning for levering af virksomhedens samfundskritiske tjenester. Dette skal ske inden for 24 timer. Desuden skal modtagere af tjenesten også informeres, og der skal senest en måned efter anmeldelsen indsendes en rapport, der indeholder:

  1. en detaljeret beskrivelse af hændelsen, dens sværhedsgrad og indvirkning
  2. den type trussel eller grundårsag, der sandsynligvis udløste hændelsen
  3. anvendte og igangværende afbødende foranstaltninger
 

Et skærpet ledelsesansvar

Et væsentligt skifte fra tidligere et kraftigt øget fokus på ledelsesansvar. Det bliver med NIS2 virkomhedsledelsens opgave at godkende de nødvendige foranstaltninger til styring af cyber-sikkerhedsrisici, og ledelsen stilles ligeledes til ansvar, hvis disse foranstaltninger ikke overholdes.

Dette kræver selvsagt, at ledelsen sikrer sig tilstrækkelig viden og færdigheder til at forstå og vurdere risikostyring af cybersikkerhed samt konsekvenserne for forretningen og virksomhedens aktiviteter.

 

Hvordan kan I begynde at arbejde struktureret med IT-sikkerhed?

Da der med NIS2, ligesom med GDPR, vil være tale om et risikobaseret tilsyn, er opgaven for mange organisationer at kunne afdække deres egne risici, prioritere disse indsatser efter transparente og objektive kriterier, og man skal kunne dokumentere sine (evt. manglende) indsatser på disse områder.

Til sådanne opgaver kan man med fordel automatisere store dele af arbejdet. Med Stratos-AI® er det muligt på kontinuerlig basis at kortlægge hele IT-landskabet, således at man dokumentere, at ens inventarliste og aktiver vedligeholdes efter gældende metoder og processer – at de står korrekt opført i Active Directory.

Ligeledes er det muligt dokumentere alle installerede applikationer og antivirus, samt at back-up software er installeret opdateret.

Stratos-AI® tillader at skabe et data-drevet overblik, foretage en prioritering af dine definerede indsatser i henhold til de opstillede retningslinjer, og dokumentere fremdriften i dine risiko-mitigerende indsatser. Det sker med et visuelt overblik i Projekt-modulets Gantt Chart.

Med integration fra Stratos-AI® til markedsledende IT service Management-værktøjer er I sikre på en konsistent opfølgning og ejerskab til indsatser i kendte rammer. Med avanceret data-opsamling og dokumentation kan indsatserne analyseres, optimeres med kontinuerlig forbedring for øje.

Stratos-AI®’s visuelt intuitive overblik og inddeling af fysisk IT infrastruktur i funktionelle miljøer gør det let at foretage netværkskontroller og således sikre, at der ikke er direkte netværksadgange fra udvikling/test-miljøer til selve driftsmiljøerne. Vi udvikler løbende i samarbejde med vores kunder nye algoritmer, der udfører automatiserede kontroller til risikobaserede metoder, såsom NIST og ISO.

 

Eksperter: Kom i gang i tide

Selvom virksomheder har indtil 2024 til at få det systematiske sikkerhedsarbejde inkorporeret, foreslår eksperter, at man som forbereder sig allerede nu. Erhvervsjuridisk rådgiver og partner hos Poul Schmith/Kammeradvokaten, Emil Bisgaard, siger her til netmediet version2.dk:

»Jeg kan godt forstå, at man tænker, ‘noget, der kommer om to år, det skal vi ikke arbejde med lige nu’. Men problemet er bare, at hvis man ikke allerede er i gang med at arbejde struktureret med cyber- og informationssikkerhed, så er to år ikke så lang tid.«

 

Vi vil meget gerne vise, hvordan Bosco’s platform, Stratos-AI® kan hjælpe jer til at blive klar til NIS2. Book en personlig demo her.

Leave a Reply

Your email address will not be published.