SecurityWorldMarket

29-03-2023

Standard giver styr på kravene i NIS2

Majken Prip, Dansk Standard

Mange danske virksomheder bliver snart omfattet af nye regler for cyber – og informationssikkerhed. Med standarden ISO/IEC 27001 kan virksomhederne komme på forkant med kravene i NIS2, der for mange virksomheder medfører en ny måde at arbejde på, blandt andet i forhold til risikostyring, indberetning af sikkerhedshændelser og tilsyn.

Til oktober næste år vil en lang række danske organisationer og virksomheder blive omfattet af ny europæisk lovgivning for cyber- og informationssikkerhed i forhold til kritisk infrastruktur. Net- og Informationssikkerhedsdirektivet (NIS) er nemlig blevet revideret pga. såvel øget digitalisering og afhængighed af digitale tjenester som markante ændringer i trusselsbilledet. Og det medfører skærpede krav, som langt flere end hidtil skal forholde sig til, oplyser Dansk Standard, DS.

Ifølge Majken Prip, der er konsulent i Dansk Standard, er ISO/IEC 27001-standarden en god basis for arbejdet med kravene i direktivet og derfor også en god måde at komme i gang på.

- Hvis du ikke allerede har etableret et ISMS, dvs. et ledelsessystem for informationssikkerhed, med udgangspunkt i ISO/IEC 27001, kan det være en rigtig god ide at gøre det nu som forberedelse til NIS2. Når man arbejder struktureret med informationssikkerhed og følger ISO/IEC 27001, får man nemlig foræret compliance i forhold til flere af de nye krav direktivet stiller, fortæller hun.

Nye krav, som omfatter flere

NIS2 skal sikre en ensrettet implementering af principper for sikkerhed på tværs af EU og fastsætter blandt andet minimumsforpligtelser for risikostyring, rapportering og informationsudveksling og omfatter hændelsesrapportering og -respons, kryptering samt et øget fokus på sikkerhed i forsyningskæder.

Med ønsket om at dække alle organisationer, som på en eller anden måde varetager kritiske funktioner i samfundet, udvides omfanget af sektorer, der skal leve op til kravene i direktivet. Det betyder, at bl.a. fødevareproduktion, affaldshåndtering samt hele forsyningskæder i energisektoren, som har mere end 50 ansatte og en årlig omsætning på over 10 mio. euro fremover også bliver omfattet af kravene i NIS2.

- Industriens Fond anslår at omkring 1000 virksomheder i første ombæring vil være omfattet af NIS2. Derudover skal man være opmærksom på, at kravene også udvides til at gælde underleverandører. Det betyder at langt flere virksomheder vil være underlagt de skærpede krav i NIS2 og dermed skal forholde sig til en række nye ting, som måske ikke tidligere har været en del af dagsordenen, som fx løbende kontroller og tilsyn, siger Majken Prip.

Ambitionen med NIS2 er også at øge kravene til håndhævelse af reglerne og ensrette sanktionerne i hele Europa, hvilket konkret betyder mulighed for flere bøder og påbud, hvis man ikke lever op til direktivet.

Skærpede krav til risikostyring, ledelsesmæssig forankring og sikkerhed i forsyningskæder

Det oprindelige NIS-direktiv stiller krav om risikostyring bl.a. ved implementering af passende foranstaltninger. NIS2 øger kravene til risikostyring og præciserer, at passende foranstaltninger som minimum indebærer, at virksomhederne udarbejder politikker for informationssikkerhed og risikoanalyse. Derudover stilles der bl.a. krav om hændelseshåndtering- og rapportering samt basale cyberhygiejnepraksisser. Alt sammen noget som ISO/IEC 27001 og de tilhørende vejledende standarder ISO/IEC 27002 og ISO/IEC 27005 kan hjælpe virksomhederne med.

- ISO/IEC 27001-kravene relateret til risikovurdering kan hjælpe virksomhederne med at dokumentere deres risikostyringspraksis, ligesom ISO/IEC 27002 og ISO/IEC 27005 kan bidrage til hhv. at identificere de passende foranstaltninger som organisationer skal implementere og rammesætte risikostyringsprocessen fra start til slut, siger Majken Prip.

NIS2 stiller også krav til den ledelsesmæssige forankring. Det vil sige, at ledelsen skal være bekendt med organisationens risikostyringsindsats, lige så vel som den skal have godkendt de implementerede foranstaltninger samt have tilstrækkelige kompetencer for at forstå og vurdere cybersikkerhedsrisici.

- Også på dette punkt kan IS0 27001 hjælpe virksomhederne med at leve op til NIS2, ligesom det er tilfældet med kravet om rapportering til myndigheder. Direktivet kræver nemlig, at der er styr på de interne processer for sikring af cyber- og informationssikkerhed, og det er præcis den ramme, som ISO/IEC 27001 og tilhørende vejledende standarder som ISO/IEC 27002 og ISO/IEC 27005 hjælper med at sætte, siger Majken Prip og understreger, at man ikke behøver være certificeret for at arbejde med ISO/IEC 27001. Hvis blot man arbejder struktureret med informationssikkerhed, som standarden foreskriver, er man godt på vej ift. at håndtere kravene i NIS2.

En anden standard, som for mange virksomheder kan være en god idé at tage et kig på ifm. NIS2, er ISO 22301, der kan hjælpe virksomheder med at rammesætte de interne processer i forhold til forretningskontinuitet, sikkerheden i forsyningskæder og disaster recovery.



Leverandører
Tilbage til toppen