Denne klumme er et debatindlæg og er alene udtryk for forfatterens synspunkter.
Med NIS2-direktivet sikres cybersecurity en central plads med fokus på topledelsens ansvar, leverandørkædesikkerhed, skærpede krav til rapportering, cyberstrategi, governance og business continuity.
NIS2, også kendt som Network and Information Systems Directive 2, er et opdateret EU direktiv designet til at forbedre cybersikkerheden inden for kritiske/væsentlige sektorer.
Denne direktivopdatering repræsenterer et afgørende skridt for at beskytte kritisk infrastruktur og digitale tjenester mod cybertrusler og angreb.
Hvem er opfattet af NIS2 direktivet?
Udbydere af kritisk eller vigtig infrastruktur samt disses underleverandører, som opfylder følgende krav:
1) Mere end 50 ansatte
eller
2) Har en omsætning på over 10 mEUR.
og
3) Leverer tjenesteydelser i et EU-land.
Hvorfor er NIS2 vigtig?
I en tid, hvor cybertrusler bliver stadig mere komplekse og sofistikerede, kan angreb på kritisk infrastruktur have omfattende konsekvenser.
NIS2 tjener som et afgørende værktøj til at styrke organisationers evne til at modstå og reagere på disse trusler, hvilket er afgørende for både samfundets sikkerhed og organisationernes kontinuitet.
Værdien af NIS2-compliance
Ud over at opfylde lovkravene bringer NIS2-compliance også en række fordele med sig.
Dette inkluderer øget modstandsdygtighed mod cyberangreb, forbedret evne til at identificere og håndtere sikkerhedsbrud samt styrkede relationer med interessenter og kunder, der søger sikre digitale tjenester.
Implementering af NIS2-krav
At påbegynde implementeringen af NIS2-krav kræver en struktureret og strategisk tilgang.
Organisationer bør starte med en grundig risikovurdering for at identificere potentielle trusler og svagheder.
Dernæst er det afgørende at udvikle og implementere en robust sikkerhedsstrategi, der blandt andet omfatter teknologiske løsninger, personaleuddannelse og procedurer til håndtering af sikkerhedsbrud.
Essensen af NIS2
Skærpet ansvar til topledelse og bestyrelse: Ledelse og bestyrelse har nu et forøget ansvar for at opfylde NIS2-kravene, hvor bøder kan udgøre op til to procent af årlig omsætning ved manglende compliance.
Leverandørkæde ansvar: Udvidelsen af sektorer i NIS2 inkluderer vigtig infrastruktur såsom leverandører af offentlige elektroniske kommunikationsnetværk, digitale tjenester, og kemikalie- og fødevareproducenter. Dette sætter fokus på nødvendigheden af at sikre hele leverandørkæden.
Skærpede krav til rapportering - "Early warning": Tidlig varsling af sikkerhedsincidenter er afgørende. NIS2 pålægger virksomheder at rapportere betydningsfulde eller potentielt betydningsfulde hændelser inden for 24 timer (samt yderligere opdateringer indenfor 72 timer og en måned).
Krav til Cyber strategi, Governance og Business Continuity: Implementering af en holistisk cyberstrategi, effektiv governance og business continuity-planer er afgørende for NIS2-compliance.
Basal Cyber Hygiejne: For at opfylde NIS2-kravene skal virksomheder have grundlæggende cybersikkerheds foranstaltninger på plads.
Er det allerede for sent at komme i gang?
For dem, der er omfattet af NIS2, er opfordringen herfra klar - kom i gang med compliancearbejdet nu. På trods af forsinkelsen fra Forsvarsministeriet omkring de nationale danske fortolkninger og guidelines giver det helt klart mening at påbegynde arbejdet nu.
Sådan kommer du i gang
Forstå kravene: Gennemgå NIS2-dokumentationen omhyggeligt for at forstå specifikationerne og de forventede standarder for sikkerhed.
Risikovurdering: Foretag en grundig risikovurdering for at identificere svagheder og udvikle en handlingsplan baseret på prioriterede trusler.
Teknologisk implementering: Hvor det giver mening bør der investeres i moderne sikkerhedsteknologier, herunder trusselsdetektering, adgangskontrol og datakryptering.
Uddannelse og opmærksomhed: Træn og opdater personalet regelmæssigt for at sikre, at alle er opmærksomme på de seneste trusler og bedste sikkerheds praksis.
Kontinuerlig overvågning: Implementer en proaktiv overvågningsstrategi for at opdage og reagere hurtigt på potentielle sikkerhedsbrud.
Hvad koster det at blive NIS2 compliant og er der økonomisk hjælp at hente?
Det kan variere en del er det er helt afhængig af din virksomheds nuværende niveau omkring implementerede cybersikkerhedsforanstaltninger og dokumenteret politikker og governance, i forhold til de stillede krav.
Det vil også være afhængig af din virksomheds størrelse og kompleksitet.
Så udgiften kan være alt mellem nul kroner (hvis man er en mindre eller mellemstor ikke kompleks virksomhed, som har helt styr på sin sikkerhed, leverandører og risici) til flere millioner (hvis man er en større kompleks virksomhed, som ikke er nået så langt med sine basale sikkerhedsforanstaltninger, styring af leverandører og Risk Management).
Der er dog økonomisk hjælp at hente i diverse puljer.
For eksempel har Digitaliseringsstyrelsen netop sidst i februar åbnet op for en pulje, som kan være relevant i denne henseende. Det kan du se mere om her.
Klummer er læsernes platform på Computerworld til at fortælle de bedste historier, og samtidig er det vores meget populære og meget læste forum for videndeling.
Har du en god historie, eller har du specialviden, som du synes trænger til at blive delt?
Læs vores klumme-guidelines og send os din tekst, så kontakter vi dig - måske bliver du en del af vores hurtigt voksende korps af klummeskribenter.