Du er midt i præsentationen til i morgen, da din skærm lige pludselig går i sort, og et dødningehoved toner frem. Du trykker ihærdigt på tastaturet, men intet sker. Der går ikke længe før, du hører samme ihærdige tastelyd fra din kollegas bord, og hurtigt går det op for dig; I er blevet ramt af et hackerangreb.
Det er et scenarie enhver virksomhed gerne vil undgå.
Særligt, hvis man er en virksomhed, der leverer kritisk infrastruktur til danskerne, og forsyner os alle sammen med rent drikkevand, livsvigtig medicin, lys og varme i stuerne og andre nødvendigheder.
Antallet, omfanget, sofistikeringen, hyppigheden og virkningen af cyberangreb er stigende og udgør en stor trussel mod netværks- og informationssystemers funktion.
Sådan beskrives det i NIS2 direktivet, der som bekendt har set dagens lys. Og det varer ikke længe, før det bliver gældende i Danmark på lige fod med de andre europæiske lande.
Som informationssikkerhedsansvarlig kan det måske føles som om, at en stor del af ansvaret for, at I klarer jer sikkert igennem, hviler på dig. Men for at leve op til kravene i NIS2, og gardere jer mod trusler, skal der iværksættes en holdindsats på tværs af hele virksomheden.
Så fat mod. Vi giver dig de vigtigste skridt at forholde sig til, som kan sikre en robust og vedvarende beskyttelse i overensstemmelse med NIS2.
Step 1: Overblik, overblik, overblik
Allerførste skridt vil selvfølgelig være at finde ud af, om I er omfattet. Er I det, i større eller mindre grad, vil næste skridt være at få skabt et overblik.
Hvis I allerede arbejder med informationssikkerhed på et modent niveau, og anvender et kendt framework som ISO27001, kan du sænke skuldrene en lille smule, for så vil I allerede være langt i forhold til at efterleve kravene i NIS2. Skab et overblik over, hvilke eksisterende foranstaltninger, der skal tilrettes, og hvilke krav, der er helt nye, og skal implementeres fra bunden.
Hvis I ikke på nuværende tidspunkt arbejder systematisk med informationssikkerhed, kan det være en god ide at få udført en GAP-analyse for at få klarlagt, hvor der skal sættes ind. Denne kan I selv lave, men I kan også tage fat i en af vores produktspecialister, der sidder klar til at skabe et overblik sammen med jer.
Step 2: Involver ledelsen
Tag ledelsen i hånden og fortæl dem, at de godt kan begynde at stifte bekendtskab med ord som ISO27000, ransomware og firewalls.
Det er den øverste ledelse, der er ansvarlig for, at virksomheden efterlever NIS2 kravene, og direktivet stiller derfor store krav til ledelsesforankring og ledelsens kendskab til risikostyring. Ved manglende overholdelse af direktivet vil lederen få en personlig bøde på mindst 1,4% af den årlige omsætning for vigtige virksomheder og mindst 2% af den årlige omsætning for essentielle virksomheder. Med andre ord; Involver dem tidligt, uddan dem og sørg for at få tildelt de ressourcer, du skal bruge.
Step 3: Lav risikovurderinger og beredskabsplaner
Når du har fået overblik over, hvilke foranstaltninger, du skal arbejde med, er det tid til at få lavet nogle gode risikovurderinger og beredskabsplaner. Afklar hvordan risici kan mitigeres, og lav beredskabsplaner, der kan tages i brug i tilfælde af et alvorligt hændelsesforløb – for eksempel et hackerangreb. Forbered jer på, hvordan I skal agere, hvis krisen opstår. Begge dele kan et GRC eller ISMS system som Wired Relations hjælpe med at skabe overblik over.
Step 4: Hold styr på forsyningskæden
"Enheder (virksomheder) skal tage hensyn til sårbarheder specifikt for hver leverandør og tjenesteudbyder samt den overordnede kvalitet af produkter og cybersikkerhedspraksis hos deres leverandører og tjenesteudbydere, herunder deres sikre udviklingsprocedurer."
Det er ingen hemmelighed, at forsyningskædesikkerhed er et centralt punkt i NIS2. NIS2 er en øvelse på samfundsniveau, og man skal ikke kun gardere sig selv. Så selvom I føler, at I har stærke aftaler med jeres leverandører, kan det være en god ide at genbesøge dem og sikre, at de også lever op til niveauet for NIS2.
Step 5: Lav kontroller
Måske skal hyppigheden af, hvor tit I laver backup øges, måske skal I teste, hvor hurtigt I kan lave en restore. I kan komme meget på forkant ved at kontrollere, at de initiativer og procedurer, I har sat op, også virker i praksis.
Webinar: NIS2 – Hvordan kommer vi i mål
I et webinar har vi sammen med Malene Stidsen, Programchef for Cybersikkerhed i Industriens Fond og Jacob Herbst, CTO i Dubex og medlem af det Nationale Cybersikkerhedsråd taget temperaturen på NIS2. Vi snakker blandt andet om, hvad regeringens udskydelse af implementeringen betyder, og om NIS2 "bare" er papir og compliance.
Lyt til det nu, hvis du interesserer dig for NIS2 og vil have en status på, hvor andre er – samt vide, hvordan du selv skal forholde dig.
Fra ISO til NIS2
Sammen med Henning Mortensen, CISO hos Brdr. A&O Johansen, formand for Rådet for Digital Sikkerhed og medlem af Cybersikkerhedsrådet, sætter vi fokus på synergierne mellem ISO 27000-serien og NIS2, og hvordan du kan arbejde med det i praksis.