Stor enighed: Dem der allerede arbejder med en ISO standard er godt klædt på til NIS2

By 
Gry Josefine Løvgren
April 11, 2024

NIS2-direktivet sætter nye rammer for arbejdet med cyber- og informationssikkerhed. Men hvor skal man starte? Og hvad gør de andre? Vi har snakket med informationssikkerheds-medarbejdere og eksperter i feltet for at høre, hvordan man kommer godt fra start med implementeringen af NIS2.

Janni Lee Bang Brodersen, informationssikkerhedschef på Syddansk Universitet

Vi ved endnu ikke, hvor meget vi er omfattet, men vi vil formentlig være det i forbindelse med vores HPC anlæg. Uanset hvad vil man kunne komme langt ved at bruge et standardiseret framework som ISO 27000 og CIS 18. Det gør vi, og derfor vil vi arbejde videre med vores modenhed inden for ISO 27001/2, fordi det vil stille os godt i forhold til kravene i NIS2. 

NIS2 er en gave

Vi kommer nok til at gøre noget mere i forhold til afrapportering til ledelsen og løft af kompetenceniveauet hos ledelsen og øvrige ansatte. Lige nu er informationssikkerhed en del af introkurset for nye ansatte, men derudover er der kun et frivilligt e-læringsmodul for vores informationsikkerhedskoordinatorer. Med NIS2 vil vi nok få noget mere obligatorisk træning omkring informationssikkerhed for alle, ligesom vi har det med GDPR. Det er altid svært at få ledelsesforankring, men det er vigtigt. Der giver NIS2 en gave i og med, at der er et krav om det. I en topledelse er der meget, de skal interessere sig for, og NIS2 er jo kun en af tingene. Så det er svært at få plads på agendaen, men nu er det en nødvendighed. 

Der skal ske en kulturændring

Generelt er det en kulturændring, der skal til – ligesom at vænne sig til at køre med cykelhjelm. Lige pludselig synes man, det er dumt, hvis man ikke gør det. Folk er ikke helt bevidste om, hvor stor cybertruslen faktisk er, og hvor udsatte de egentlig er i deres daglige arbejde. Sikkerhed kan virke besværligt, hvis man ikke forstår nødvendigheden, så det er vigtigt, at der laves en fortælling, som almindelige medarbejdere forstår, og at man ikke omtaler sikkerhed som noget irriterende bureaukrati. 

Henning Mortensen, Informationssikkerhedschef i Brdr. A&O Johansen A/S og formand for Rådet for Digital Sikkerhed

Det første man skal gøre er selvfølgelig at finde ud af, om man er omfattet. Hvis ja, hvad for nogle af kravene skal man så efterleve? Lav en bruttoliste over hvilke krav, I allerede kan efterleve, og hvilke I ikke kan, og iværksæt nogle procedurer for arbejdet med dem.

På min arbejdsplads arbejder vi baseret på ISO 27001 og 2. Her har vi lavet en mapping med alle kravene fra NIS2 op imod de eksisterende kontroller i ISO. NIS2 har vi skrevet med gult, GDPR står med blåt osv. På den måde kan man få et godt overblik. 

I forhold til foranstaltning 5.19 og 5.20 omkring informationssikkerhed i leverandørforhold vil vi nok få nogle flere krav at skulle leve op til. Men generelt forestiller jeg mig ikke, at der er ret meget, der bliver anderledes. De aktører, der allerede arbejder med en ISO standard, har ikke ret langt at gå. 

Jan Hjelvang, Specialist i compliance og informationssikkerhed

NIS2 vil gøre det muligt at samarbejde om informations- og cybersikkerhed på en helt anden måde, end vi gør i dag. Det vil give en fælles forståelse for, hvad vi forstår ved cybersikkerhed.

Udfordringen, særligt for private virksomheder, bliver at skulle træffe beslutninger ud fra den samfundsmæssige betydning, som kan være helt forskellig fra den forretningsmæssige konsekvens.

3 råd til virksomheder, som med stor sandsynlighed bliver direkte omfattet:

1. Undlad at se det som en compliance-øvelse – I skal kunne dokumentere foranstaltningers effekt.

2. Har I allerede et ISMS, så byg videre på det. Har I ikke, så benyt lejligheden til at etablere ét – det bliver ikke sidste kravpakke fra EU!

3. Har I brug for hjælp, så fokusér på forretningsværdien, frem for skræmmekampagner.

Det er vigtigt at arbejde struktureret med opgaven, så man kan dokumentere sit sikkerhedsniveau. Her kan et ISMS baseret på ISO 27001 gøre det nemmere at “tale” sammen med kunder og leverandører.

Marie Bjerre Simonsen, Senior Compliance Manager i Wired Relations

Som det allerførste vil jeg starte med at danne mig et overblik over organisationens nuværende informationssikkerhedssetup. Få et overblik over hvor organisationen er i dag i forhold til de krav, der stilles i NIS2-direktivet – for eksempel om der allerede er styr på beredskabsplaner, leverandørkæder, risikostyringen, hændelseshåndtering mv. 

Jeg har talt med mange virksomheder om NIS2, og der er ingen tvivl om, at de virksomheder der allerede arbejder struktureret og systematisk ud fra for eksempel ISO27001, eller et andet anerkendt framework, er foran på point. 

Derudover vil jeg gøre en ekstra indsats for at få ledelsen med om bord (hvis de ikke allerede er det). Ikke nok med, at det nu er et lovkrav i NIS2, at ledelsen involverer sig i og forstår sikkerhedsarbejdet, de skal også forstå vigtigheden af det, således at indsatser og ressourcer kan prioriteres bedst muligt.

Mathias Bechmann Haurdahl, Compliance Manager i Eurowind Energy

Det første jeg vil gøre er at sikre en struktureret velimplementeret governance for informationssikkerhedsstyring. Det er afgørende, at alle relevante interessenter i organisationen er velinformeret, at de relevante ansvarlige træffer beslutningerne, og at der er enstemmighed i retning og investeringer for arbejdet med IT- og OT-sikkerhed.

For os betyder det, at den overlæggende struktur tager udgangspunkt i ISO 27001’s rammeværktøj. På den måde sikrer vi, at de rigtige personer og enheder er informerede. Det giver retning til de dokumentationskrav, der er, såsom risikostyring og tilsyn. Derudover letter rammeværktøjets fokus på topledelsesinvolvering implementeringsudfordringer i organisationen.

Desuden er det helt afgørende at gøre brug af sikkerhedsstandarder, såsom IEC62443 og CIS, som supplerende foranstaltnings- og proceskataloger.

Højere krav til leverandørstyring

I en virksomhed som Eurowind Energy arbejder vi med mange leverandører og produkter, og med NIS2 forventer jeg, at der kommer højere krav til leverandørstyring og beredskab. 

Sikring af vores forsyningskæde er et omfattende arbejde, som vi tager meget alvorligt. Konkret drejer det sig om at sikre, at der opretholdes den samme rigide sikkerhed hos kritiske leverandører, som der er i vores virksomhed. Det betyder alt fra specifikke krav til konkrete tilsyn, som er afgørende for, at vi ikke overser en sårbarhed, der kan have en negativ konsekvens for vores evne til at levere samfundskritiske forsyninger i form af el.

Derudover kommer der skærpelser til de krav, der stilles til beredskabet. Dette udmunder sig i konkrete investeringer, som vi er undervejs med, men som kræver nye arbejdsprocesser i organisationen.

Udfordring at sikre nok ressourcer

Det er altid en udfordring at skabe forandring uden indtjeningsformål. Arbejdet med det ser vi som en forsikring og styret af ISO 27001, der gør opgaven mere synlig og på sin vis nemmere. Men det vil fortsat være en udfordring at sikre, at der er tilstrækkelige ressourcer og kompetencer til arbejdet med IT- og OT-sikkerhed. 

Derudover er det fortsat en udfordring, at Eurowind Energy er til stede i 16 lande. Implementeringen på tværs af grænser, herigennem styring og kontrol med aktiver og disses forbindelser, er en udfordrende men også spændende opgave.

Webinar: NIS2 – Hvordan kommer vi i mål

I et webinar har vi sammen med Malene Stidsen, Programchef for Cybersikkerhed i Industriens Fond og Jacob Herbst, CTO i Dubex og medlem af det Nationale Cybersikkerhedsråd taget temperaturen på NIS2. Vi snakker blandt andet om, hvad regeringens udskydelse af implementeringen betyder, og om NIS2 "bare" er papir og compliance.

Lyt til det nu, hvis du interesserer dig for NIS2 og vil have en status på, hvor andre er – samt vide, hvordan du selv skal forholde dig.

Lyt til webinar om NIS2