Denne klumme er et debatindlæg og er alene udtryk for forfatterens synspunkter.
Når jeg drøfter NIS2-direktivet med forskellige personer og organisationer, er der stadig en relativt stor andel, som afventer implementeringen af direktivet i dansk lovgivning.
Det kan der være forskellige årsager til. Men generelt er min respons, at en afventende tilgang til NIS2-implementering lægger et unødigt pres på de forretningsansvarlige, ligesom det helt lavpraktisk gør det svært at nå i mål med opgaverne til tiden.
I skrivende stund er der kun 14 måneder til 18. oktober 2024, hvor direktivet skal efterleves.
For visse organisationer og virksomheders vedkommende kan den afventende tilgang til NIS2 forklares med, at der er konsulentvirksomheder, der lover, at de på et par måneder kan gøre enhver organisation NIS2-compliant.
Det anser jeg ikke bare for at være yderst tvivlsomt; jeg finder det også bekymrende med den slags udmeldinger, for det sender et forkert signal om omfanget og vigtigheden af det arbejde, der udestår.
I samme åndedrag finder jeg det også problematisk, når virksomheder bag udbredte certificeringsordninger påstår, at man med deres stempel er NIS2-compliant og dermed overholder minimumskravene i direktivet. Det er ikke korrekt.
Lad mig slå fast én gang for alle, at kravene til NIS2 er unikke i den forstand, at de er udformet med det formål at sikre adgang til de tjenester og leverancer – inklusive underleverandører – der er kritiske for samfundet.
Den kontekst er der ingen sikkerhedsrammeværktøjer, der har. ISO27001, D-mærket og andre certificeringsordninger er generiske sikkerhedsstandarder og kan derfor ikke overføres direkte til en NIS2-verden.
Risiko og beredskab i NIS2-kontekst
Selvom fx en ISO-certificering eller et D-mærke således ikke er ensbetydende med NIS2-compliance, kan ordningernes systematiske arbejde med informationssikkerhed og risikovurderinger være et godt udgangspunkt for en NIS2-implementering.
For der vil være mange sikkerhedsdiscipliner, metodikker og opgaver fra ISO, D-mærket og for den sags skyld også NIST eller CIS-kontrollerne, der overlapper med kravene i NIS2.
Man må bare ikke læne sig tilbage og tro, at compliance det ene sted automatisk betyder compliance det andet sted, for det gør det ikke.
Hvis en tilsynsmyndighed en dag banker på døren, vil de ikke godtage anden dokumentation, end den der forholder sig specifikt til NIS2.
Graver vi et spadestik dybere, bliver forskellen mellem NIS2 og øvrige sikkerhedsregulativer tydelig, når vi fx kigger på risikostyring og beredskab.
Det kan godt være, at en organisation eller virksomhed har forholdt sig overordnet til risici og beredskabsplaner, da de blev ISO-certificeret eller fik deres D-mærke.
Men det betyder ikke, at de har lavet en risikovurdering af deres forretnings betydning for leverancen af en tjeneste, som er vigtig for samfundet. Eller at de har lavet en beredskabsplan, der sikrer, at de kan bringe tjenesten tilbage i drift, hvor lang tid det vil tage osv.
Derfor er man nødt til at opdatere hele sit sikkerhedsarbejde med de minimumskrav, vi allerede nu ved, bliver en del af NIS2.
Implementér minimum
Det bringer mig videre til næste pointe.
For som jeg indledningsvis slog fast, er det en risikabel tilgang til en NIS-implementering at blive ved med at udsætte den.
Det kan godt være, at vi afventer de danske myndigheders svar på, præcis hvordan NIS2-direktivet skal implementeres i dansk lovgivning, men vi ved, at NIS2 jf. artikel 21 skal implementeres nogenlunde ensartet i alle EU-lande – også kendt som de 10 minimumskrav.
Så uanset hvordan den danske variant ender med at se ud, kan man lige så godt gå i gang med at implementere minimum.
Hvis man kigger nærmere på de 10 minimumskrav, ligger de i forlængelse af det sikkerhedsarbejde, mange allerede er langt med: Udarbejdelse af risikovurderinger, hændelseslogning, overblik over leverandører, styr på beredskab osv.
Så det nye er reelt at forholde det eksisterende sikkerhedsarbejde til en specifik NIS2-kontekst. Det vil sige, at man tænker forretningens leverance eller delleverance af en samfundsvigtig ydelse ind i et worst case-scenario, hvor leverancen skal opretholdes på nationens vegne, og hvor der er en gennemtestet plan for hurtigt at bringe leverancen tilbage i drift, hvis der sker noget uforudset.
Tre fokusområder lige nu
Når jeg taler med virksomheder og organisationer, der er i tvivl om, hvad næste skridt i forhold til deres NIS2-implementering skal være, plejer jeg at sige tre ting.
For det første skal de få styr på deres digitale aktiver. Alle de systemer og den hardware, der er nødvendig for driften af tjenesten, skal de have et overblik over, og det overblik skal de kunne dokumentere over for en tilsynsmyndighed.
For det andet skal de risikovurdere deres forretning i en NIS-kontekst.
Det vil reelt sige, at de sætter “sådan-plejer-vi-at-gøre” over i hjørnet, og så kaster de et friskt blik på, hvordan de fra et samfundsperspektiv risikovurderer forretningen: Hvad udgør den største trussel mod netop deres leverance? Hvor kommer truslen fra? Hvem er aktørerne og risikofaktorerne? Hvad ville der ske i tilfælde af en hændelse osv.?
For det tredje skal de fokusere på deres beredskab. For når vi nu ved, at NIS2 primært handler om sikring af tjenester, som er vigtige for samfundet, er det centralt at vide, hvordan man kommer tilbage efter et driftsnedbrud.
Beredskabsplanen skal være testet, så alle kender deres roller og ansvar og har trænet forskellige scenarier, og så skal beredskabsplanen være så omfattende, at den indeholder et NIS2-perspektiv.
Sagt på en anden måde kan man ikke genbruge en tre år gammel beredskabsplan, fordi den er udarbejdet med et andet formål for øje.
Så hvis man sidder lige nu og klør sig i håret over, hvor man skal sætte ind, vil jeg anbefale, at man kigger på, hvad man pt. mangler for at leve op til minimumskravene i NIS2 jf. artikel 21, og så skal man for en stund se bort fra den manglende udmøntning i dansk lovgivning.
Lav en liste over de projekter, der kan bringe jer tættere på opfyldelsen af kravene og brug de næste måneder på at komme i mål med ét projekt ad gangen.
Der er ingen grund til at vente et halvt eller et helt år med opgaver, som I helt sikkert ved, I skal lave.
Klummer er læsernes platform på Computerworld til at fortælle de bedste historier, og samtidig er det vores meget populære og meget læste forum for videndeling.
Har du en god historie, eller har du specialviden, som du synes trænger til at blive delt?
Læs vores klumme-guidelines og send os din tekst, så kontakter vi dig - måske bliver du en del af vores hurtigt voksende korps af klummeskribenter.