Cyber- og informationssikkerhed er et omdiskuteret emne, der har haft et stort fokus i mange år – og det vil kun fortsætte i takt med, at teknologi generelt udvikler sig med lynets hast, og digitalisering kommer til at fylde mere.
Det er ikke ligefrem et emne, der for de fleste er nemt at finde rundt i eller forholde sig til. Men som virksomhed er og bliver cyber- og informationssikkerhed forretningskritisk. Og til oktober næste år bliver en lang række virksomheder og organisationer omfattet af det nye NIS2 (net- og informationssikkerhedsdirektivet), som skal være med til at beskytte virksomheden selv, dens omverden og kunderne.
Det er meningen, at NIS2 skal sikre, at cyber- og informationssikkerhed på tværs af EU foregår på de samme præmisser – det vil sige, at direktivet opstiller en række minimumsforpligtelser for risikostyring, rapportering og hændelseshåndtering. NIS2-direktivet adskiller sig fra det oprindelige NIS, der kom i 2016, og derfor er det ifølge Majken Prip, der er konsulent hos Dansk Standard, vigtigt, at virksomheder og organisationer sætter sig ind i, hvad det helt konkret kommer til at betyde for dem hver især.
”Det første direktiv var ikke implementeret ens på tværs af medlemslandene. Virksomhederne, som var omfattet dengang, stod derfor overfor vidt forskellige krav alt afhængigt af land, hvilket ikke var i overensstemmelse med direktivets oprindelige formål. Håbet er, at det nye direktiv strømliner kravene, samtidig med at det giver et større fokus på forsyningskæder, leverandørforhold og ledelse,” forklarer hun.
En nødvendig omvæltning for mange
Netop forsyningskæder og dermed leverandører kommer i fokus, og det er én af grundene til, at direktivet omfatter flere virksomheder end før – fordi virksomheder med kritisk infrastruktur vil skulle stille de samme krav til sine leverandører, som de selv er underlagt.
”Nogle virksomheder kan sagtens være gode til cyber- og informationssikkerhed allerede, mens andre kan være helt grønne. Helt grundlæggende vil det betyde ret store forandringer for rigtig mange virksomheder og organisationer, fordi NIS2-direktivet stiller mere omfattende og mere specifikke krav end før,” siger Majken Prip og understreger, at selvom mange virksomheder allerede arbejder med cyber- og informationssikkerhed, så vil det sandsynligvis skulle sættes mere i system, og der skal skabes klare processer – for det er primært her, kravene ligger.
Et sted, hvor man har god erfaring med netop dét, er Københavns Lufthavne, hvor IT Compliance Manager, Mette Andreasen, har været bannerfører for både det oprindelige NIS-direktiv, og nu er i gang med forberedelserne til NIS2.
”For os bliver det ikke et kæmpe skridt at gå fra NIS til NIS2. Jeg forstår godt, hvis nogen ser lidt vilde ud i øjnene, når de får at vide, at de skal underlægges sådan et direktiv – det gjorde vi da også første gang – men det giver god mening. Det er ”bare” mere af det, vi allerede gør, og nu skal vi tilbage og besøge risikovurderinger og kritikalitetsvurderinger for at se, hvor meget bredere vores scope skal være,” fortæller hun.
Standarder er en løftestang og en god opskrift
I lufthavnen har man især lænet sig op ad standarder, som har hjulpet gevaldigt med at finde hoved og hale i de komplekse krav. Og det giver god mening ifølge Majken Prip fra Dansk Standard.
”Standarder er et rammeværktøj, der netop kan hjælpe med at strukturere de processer, der er nødvendige for at imødekomme visse krav i NIS2-direktivet, men også til at sikre, at virksomheder er på forkant med sikkerhedsarbejdet ift. at modstå eventuelle cyberangreb,” siger hun.
“Standarder hjælper os helt ned på et step by step-format. Det er essentielt set en opskrift på, hvordan man kan tilgå direktivet.
Mette Andreasen
I Københavns Lufthavne har de eksempelvis brugt ISO/IEC 27001, som er en international, anerkendt standard for ledelsessystemer og cyber- og informationssikkerhed.
”Det er et rigtig godt værktøj til at definere størrelsen på NIS-opgaven. Vi forbereder os på NIS2 ved at genbesøge det certifikat, vi fik i første omgang, som var afgrænset til én del af organisationen, og så genbesøger vi overblikket over risici, kritiske processer, systemer og aktiver og sørger for, at hele vores ledelsessystem bliver opdateret med de nye tiltag. På den måde skaber vi balance mellem lovkrav, risici og det, vi implementerer. Det skulle vi også gøre uden NIS2, fordi standarden stiller krav om løbende forbedringer også ift. efterlevelse af nye lovmæssige eller regulatoriske krav,” forklarer hun.
En mere simpel måde at forklare en standard på er at kalde den en ’opskrift’,” påpeger hun.
”Standarden hjælper os helt ned på et step by step-format. Der er et hav af krav i direktivet, men standarden består af mere end 90 mitigerende foranstaltninger, som man kan lægge ned over de risici, man har identificeret. Så det er essentielt set en opskrift på, hvordan man kan tilgå det. Hvis man holder tungen lige i munden, så bliver det meget komplekse noget mindre komplekst med standarden i hånden,” siger Mette Andreasen.
Sikkerhed er ikke kun lovkrav, men sund fornuft
En anden vigtig pointe, når det kommer til komplekse direktiver og stramme lovkrav, er, at man skal huske sig selv på, hvorfor man som virksomhed er underlagt disse regler – for det er i sidste ende for alles skyld. Og derfor skal man have hele virksomheden med på vognen, ifølge Majken Prip.
”Det er afgørende, at cyber- og informationssikkerhed bliver koblet til forretningsmålene, og alle skal forstå, hvorfor man bruger penge og ressourcer på det. Det hele er vigtigt i forhold til, hvad man så gør, når uheldet rammer. Ledere skal i gang med at sætte sig ind i, hvilke risici de står overfor - det er et krav i direktivet, at ledelsen tager stilling og har de nødvendige kompetencer hertil,” siger hun.
Og Mette Andreasen, er helt enig i den tilgang til sikkerheden og direktivet generelt.
”Man kan enten se NIS2 som et vilkår på baggrund af en lovtekst, som vi bliver dikteret - eller man kan konstatere at cyber- og informationssikkerhed er supervigtigt for os alle, og det i virkeligheden er på baggrund af sund fornuft, at vi skal indføre det. For selvfølgelig skal vi passe på vores data, og selvfølgelig skal vi have relevante foranstaltninger på plads – ellers kan vi ikke stå inde for en stabil drift. Og det, håber jeg, er det, som NIS2 kan hjælpe andre organisationer med,” siger hun og slutter:
”Det hele skal give mening. Og det her direktiv giver rigtig god mening. Det er en løftestang for hele nationen for at få hævet cyber- og informationssikkerheden.”
Annoncen er produceret den 28.08.2023 af Børsen Creative i samarbejde med Dansk Standard
