Det er der i hvert fald ingen tvivl hos Majken Prip, konsulent hos Dansk Standard:

- Risikostyring i forhold til informations- og cybersikkerhed er afgørende for virksomheder, siger hun og fortsætter:

- Det handler både om at beskytte fortrolige og følsomme informationer, men også om at have hånd i hanke med de processer, der skal sikre forretningskontinuitet, hvis og/eller når uheldet er ude. Det er en proaktiv tilgang, der desuden styrker tilliden til virksomheden.

Men selvom det kan være nødvendigt, er risikostyring ikke altid så let at komme i gang med, og for mange virksomheder kan det ifølge Majken Prip være svært at få rigtig greb om og tilstrækkeligt integrere og forankre processerne.

Risikostyring er både nødvendigt og fordelagtigt

Her kommer den vejledende standard ISO/IEC 27005 for styring af informationssikkerhedsrisici til gavn, ligesom den kan hjælpe virksomhederne med at leve op til det ufravigelige krav om risikostyring, som findes i NIS2-direktivet.

At struktureret risikostyring af it-sikkerheden både er en nødvendighed og en fordel, bliver understreget af Phillippe Roy, security advisor i KMD:

- Risikostyring kan bruges til at opdage potentielle trusler, før de bliver farlige, forklarer han.

- Ved at implementere en effektiv risikostyring kan man identificere, vurdere og håndtere disse risici på en struktureret måde. Det gør en organisation mere robust, konkurrencedygtig og i stand til at tilpasse sig et dynamisk forretningsmiljø. Alle virksomheder bør have en risikohåndteringsplan.

Metodeværktøj findes nu på dansk

Majken Prip tilføjer:

- Risikostyring er et kæmpe – og for nogen uoverskueligt – arbejde eller projekt at sætte i søen. Det hjælper ISO/IEC 27005 med, for det er et metodeværktøj, som er med til at sikre, at man som organisation kommer hele vejen rundt, og har gjort sig de nødvendige overvejelser om risikoscenarier, konsekvenser og eventuelle foranstaltninger m.m.

Standarden, som udkom i en ny version sidste år, har tidligere kun foreligget på engelsk, men der har været stor interesse for en dansk oversættelse, som nu netop er udgivet.

- At ISO/IEC 27005 er blevet oversat, gør, at den er mere tilgængelig for danske virksomheder, og det vil forhåbentlig betyde, at endnu flere kan komme i gang med en risikobaseret tilgang til håndtering af informations- og cybersikkerhed, slutter Majken Prip.

Nye krav træder i kraft i 2024

NIS2-direktivet blev vedtaget af Europa-Parlamentet tilbage i 2022. Direktivet skal sikre styrkelse af cyberforsvar og digital robusthed i alle EU’s medlemslande, både i offentligt og privat regi. Alle EU-lande skal have implementeret de nye love og regler i henhold til direktivet senest oktober 2024.

Det betyder blandt andet, at der vil blive stillet øgede krav til flere virksomheder og organisationer om certificering efter ISO/IEC 27000-serien, og et centralt element i direktivet er den risikostyring, som ISO/IEC 27005 behandler. Standarden er en vejledning, der specifikt omhandler vurdering og håndtering af risici inden for informationssikkerhed og giver dermed en hjælpende hånd mod at kunne leve op til den nye lovgivning.

Hvis man vil vide mere, er der mulighed for at deltage på Dansk Standards webinar om risikostyring med afsæt i ISO/IEC 27005 tirsdag d. 28. november, kl. 13-14. Yderligere info her: https://www.ds.dk/da/ydelser/kurser/webinar-om-risikostyring-og-informationssikkerhed