it secure

NIS2: Et skærpet ledelsesansvar for IT-sikkerhed

Som kan løses med Stratos-AI®

 

Væksten i cyber-angreb har fået EU-kommissionen til at sætte fart på udvidelsen af NIS-direktivet, det såkaldte NIS2. Hermed bliver virksomhedsledelser fremover pålagt at arbejde systematisk med IT-sikkerhed og -dokumentation. Læs med og få et indblik i, hvad det kan betyde for din organisation, og hvordan du kan forberede dig på de kommende krav med Stratos-AI®.

 

Den kraftigt stigende digitalisering og dermed behov for øget Cyber-sikkerhed har fået EU-Kommissionen til at arbejde frem mod en vedtagelse af det såkaldte NIS2-direktiv, der forventes stemt igennem allerede i år. Pandemien og Ruslands invasion af Ukraine har desuden medført en øget cybertrussel i EU, som gør det endnu mere aktuelt.

Direktivet skal styrke EU virksomheders forsvar mod cyberangreb. NIS-direktivet er oprindeligt fra 2016, men bliver nu udbygget til at omfatte både skærpede krav til dokumentation og omfatter desuden en bredere vifte af sektorer og virksomheder.

Direktivet er nået til sidste led i beslutningsprocessen, og ligger i en foreslået form til vedtagelse. Når direktivet er vedtaget, forventes de omfattede sektorer og virksomheder at have 18 måneder til at sikre, at de nye regler overholdes. Manglende overholdelse vil kunne medføre store bødestraffe.

 

Hvem er omfattet af NIS2?

Det oprindelige NIS-direktiv var begrænset til at omfatte de største virksomheder i seks kritiske sektorer. Det nye NIS2 kommer til at omfatte en række nye sektorer og private aktører.

 

NIS2 er begrænset til kun at omfatte organisationer med over 50 medarbejdere eller over 10 mio. € i omsætning. Dog vil alle virksomheder, der råder over datacentre, uanset størrelse, være omfattet af de skærpede krav.

Du kan se Europakommissionens fulde liste over omfattede virksomheds- og organisationstyper her.

 

Et skærpet ledelsesansvar

Med det oprindelige NIS-direktiv blev det et krav for digitale virksomheder, der leverer kritisk infrastruktur i EU, at foretage en række definerede, interne sikkerhedsforanstaltninger. Herforuden er det et krav, at de omfattede virksomheder skal indberette eventuelle sikkerhedshændelser til myndighederne. Disse krav bliver altså nu udvidet til at gælde langt flere organisationer.

Ifølge Rådet for Digital Sikkerhed er et væsentligt skifte fra tidligere et kraftigt øget fokus på ledelsesansvar. Det bliver med NIS2 virkomhedsledelsens opgave at godkende de nødvendige foranstaltninger til styring af cyber-sikkerhedsrisici, og ledelsen stilles ligeledes til ansvar, hvis disse foranstaltninger ikke overholdes.

Hermed bliver det en ledelsesopgave at sørge for implementering af de tilstrækkelige sikkerhedsforanstaltninger, og at der føres tilsyn med dem. Dette kræver selvsagt, at ledelsen sikrer sig tilstrækkelig viden og færdigheder til at forstå og vurdere risikostyring af cybersikkerhed samt konsekvenserne for forretningen og virksomhedens aktiviteter.

 

Ledelsens nye opgaver

Hos Rådet for Digital Sikkerhed finder vi følgende liste over risikobaserede foranstaltninger, ledelsen skal sikre:

  • Risikoanalyse og ledelsessystem til styring af informationssikkerheden
  • Håndtering af hændelser (forebyggelse, afsløring og reaktion på hændelser)
  • Forretningskontinuitet og krisestyring
  • Forsyningskædesikkerhed inklusiv sikkerhedsrelaterede aspekter ifm. forholdet mellem hver enhed, dens leverandører eller tjenesteudbydere såsom udbydere af dataopbevaring, databehandling eller tjenester til håndtering af sikkerhed
  • Sikkerhed i netværks- og informationssystemer: udvikling og vedligeholdelse, herunder sårbarhedsvurderinger, håndtering og videregivelse
  • Politikker og procedurer (test og revision) til vurdering af, hvor effektiv indsatsen er
  • Kryptering

For organisationen vil det blive et krav, at man kan dokumentere, at der er gennemført dækkende og aktuelle risikovurderinger og implementeret sikkerhed målrettet risiko, trusler og sårbarheder.

Med andre ord, så skal et evt. lavt sikkerhedsniveau forklares med henvisning til en robust sikkerhedsvurdering.

 

Rapportering af væsentlige hændelser

Alle organisationer, der er omfattet af NIS2-direktivet, bliver pålagt at rapportere de ansvarlige myndigheder om hændelser, der har væsentlig betydning for levering af virksomhedens samfundskritiske tjenester. Dette skal ske inden for 24 timer. Desuden skal modtagere af tjenesten også informeres, og der skal senest en måned efter anmeldelsen indsendes en rapport, der indeholder:

  1. en detaljeret beskrivelse af hændelsen, dens sværhedsgrad og indvirkning
  2. den type trussel eller grundårsag, der sandsynligvis udløste hændelsen
  3. anvendte og igangværende afbødende foranstaltninger

 

Hvordan kan du begynde at arbejde struktureret med IT-sikkerhed?

Da der med NIS2, ligesom med GDPR, vil være tale om et risikobaseret tilsyn, er opgaven for mange organisationer at kunne afdække deres egne risici, prioritere disse indsatser efter transparente og objektive kriterier, og man skal kunne dokumentere sine (evt. manglende) indsatser på disse områder.

Til sådanne opgaver kan man med fordel automatisere store dele af arbejdet. Med Stratos-AI® er det muligt på kontinuerlig basis at kortlægge hele IT-landskabet, således at man dokumentere, at ens inventarliste og aktiver vedligeholdes efter gældende metoder og processer – at de står korrekt opført i Active Directory.

Ligeledes er det muligt dokumentere alle installerede applikationer og antivirus, samt at back-up software er installeret opdateret.

Stratos-AI® tillader dig at skabe et data-drevet overblik, foretage en prioritering af dine definerede indsatser i henhold til de opstillede retningslinjer, og dokumentere fremdriften i dine risiko-mitigerende indsatser. Det sker med et visuelt overblik i Projekt-modulets Gantt Chart.

 

 

Med integration fra Stratos-AI® til markedsledende IT service Management-værktøjer er du sikker på en konsistent opfølgning og ejerskab til indsatser i kendte rammer. Med avanceret data-opsamling og dokumentation kan indsatserne analyseres, optimeres med kontinuerlig forbedring for øje.

Stratos-AI®’s visuelt intuitive overblik og inddeling af fysisk IT infrastruktur i funktionelle miljøer gør det let at foretage netværkskontroller og således sikre, at der ikke er direkte netværksadgange fra udvikling/test-miljøer til selve driftsmiljøerne. Vi udvikler løbende i samarbejde med vores kunder nye algoritmer, der udfører automatiserede kontroller til risikobaserede metoder, såsom NIST og ISO.

 

Eksperter: Kom i gang i tide

Selvom der kan gå mange måneder før forslaget endelig er implementeret, foreslår eksperter, at man som virksomhed forbereder sig allerede nu. Som Erhvervsjuridisk rådgiver og partner hos Poul Schmith/Kammeradvokaten, Emil Bisgaard, her siger til netmediet version2.dk:

»Jeg kan godt forstå, at man tænker, ‘noget, der kommer om to år, det skal vi ikke arbejde med lige nu’. Men problemet er bare, at hvis man ikke allerede er i gang med at arbejde struktureret med cyber- og informationssikkerhed, så er to år ikke så lang tid.«

 

Vi vil meget gerne vise dig, hvordan Bosco’s platform, Stratos-AI® kan hjælpe dig til at blive klar til NIS2. Book en personlig demo her.

Leave a Reply

Your email address will not be published. Required fields are marked *