Denne klumme er et debatindlæg og er alene udtryk for forfatterens synspunkter.
Er vores virksomhed klar til NIS2?
Det spørgsmål har spøgt i bestyrelseslokaler og it-afdelinger længe – både fordi det er en it-sikkerhedsnødvendighed at leve op til NIS2, men også fordi bøderne for ikke at være klar kan blive store og koste både bestyrelses- og direktørposter.
Alligevel må jeg konstatere, at alt for mange stadig ikke har styr på det mest grundlæggende: holistisk, gennemgående overvågning og fuldt overblik i deres systemer, netværkstrafik og al data.
Med andre ord ved de reelt ikke, hvad der foregår i deres it lige nu, og det er et alvorligt problem – uanset om vi snakker NIS2 eller ej.
NIS2-direktivet stiller skærpede krav om, at organisationer proaktivt overvåger og beskytter deres it.
Man skal kunne opdage og håndtere sikkerhedshændelser hurtigt, og det kræver kontinuerlig logning, 24/7-monitorering og -beredskab.
Alligevel ser vi ofte, at virksomheder først opdager angreb tilfældigt eller når konsekvensen rammer. Jeg oplevede for nylig en virksomhed, der først opdagede et hackerangreb, da det digitale frokostsystem gik ned. Indtrængen havde stået på længe uden at udløse alarmer – indtil kantinesystemet fejlede.
At frokostsystemet fungerede som virksomhedens "indbrudsalarm" siger alt om den manglende sikkerhedsovervågning.
Og det var ikke en enlig svale. Vi ser ofte, at angreb først afsløres af noget eksternt – eksempelvis et løsesumskrav fra hackerne eller klager fra kunder over nedetid.
Uden fuldt overblik opererer man reelt i blinde. Og hvis man ikke ved, hvad der foregår i it-miljøet, hvordan vil man så leve op til NIS2-kravet om at rapportere alvorlige hændelser inden for 24 timer?
NIS2: Kontinuerlig proces frem for slutmål
En anden misforståelse er at betragte NIS2-compliance som et projekt med en fast slutdato. Mange så også GDPR-deadlinen i 2018 som en målstreg, der skulle krydses, hvorefter man var “færdig”.
Men sikkerhedsarbejde er en uendelig rejse. Trusselslandskabet udvikler sig konstant, og NIS2 handler derfor om at skabe løbende forbedringer i sikkerheden: implementér, evaluer, tilpas – igen og igen.
Under GDPR-implementeringen oplevede vi i Norden en tendens til panik og overimplementering.
Frygten for bøder udløste et overforbrug på konsulenter og komplekse procedurer, og IT-Branchen estimerede, at overimplementering af GDPR kostede den danske it-branche næsten 400 millioner kroner i 2018.
Mange skød gråspurve med kanoner i iveren efter at gøre alt 110 procent korrekt.
Resultatet? Ringbind fyldt med politikker, men ikke nødvendigvis bedre sikkerhed i praksis.
Den lektie skal vi tage ved lære af nu, for NIS2 må ikke være et nyt panikprojekt. Fokus skal være på det, der rent faktisk reducerer risiko: basale sikkerhedstiltag som netværksovervågning, responsplaner, adgangskontrol og medarbejdertræning.
Dokumentation og papirer alene stopper ingen hackere (om end logning er en del af NIS2) – det gør derimod et veltrimmet forsvar med konstant opsyn.
Fra panik til plan
Den gode nyhed er, at du ikke skal være i mål her på den anden side af skæringsdatoen for indførslen af NIS2.
Du skal derimod være (godt) i gang, hvilket også burde være dækkende i forhold til eventuelle NIS2-brud i starten/indkøringsfasen.
Det må dog ikke blive en sovepude, hvor du som en anden evighedsstudent aldrig bliver færdig med dine tiltag: De skal færdiggøres – og så skal du gang med det næste.
Hvor skal man så begynde? Her er tre afgørende skridt fra panik til plan:
• Kortlæg jeres systemer, data og kritiske tjenester: I kan ikke beskytte, hvad I ikke har overblik over.
• Etabler 24/7 monitorering: Om det sker internt eller via en partner, skal mistænkelig adfærd opdages og håndteres øjeblikkeligt.
• Udarbejd og indøv en beredskabsplan: Når (og ikke hvis) et angreb rammer, skal roller, ansvar og procedurer være afprøvet på forhånd. Det er en aktiv del af NIS2 – og det burde være en aktiv del af alle virksomheder i udprintet form hængt op på alle opslagstavler.
Tænk på NIS2 som en anledning til at opnå bedre cyberhygiejne generelt.
Nordiske virksomheder bør bruge direktivet som løftestang til at nå et højere sikkerhedsniveau, der også kan opretholdes på sigt, og uanset hvorvidt man skal leve op til NIS2 eller ej.
Undgå “check-boks”-mentaliteten, og i stedet for at spørge “Hvornår er vi i mål med NIS2?”, skal du hellere spørge “Hvordan opretholder vi et stærkt sikkerhedsniveau år efter år?”.
NIS2 er ikke en destination, man ankommer til, men et kontinuerligt forløb, hvor gevinsten er bedre modstandsdygtighed over for trusler.
Hvis man griber det an med ro og fornuft frem for panik, kan rejsen mod NIS2-compliance faktisk styrke forretningen og beskytte både data og bundlinje.
Klummer er læsernes platform på Computerworld til at fortælle de bedste historier, og samtidig er det vores meget populære og meget læste forum for videndeling.
Har du en god historie, eller har du specialviden, som du synes trænger til at blive delt?
Læs vores klumme-guidelines og send os din tekst, så kontakter vi dig - måske bliver du en del af vores hurtigt voksende korps af klummeskribenter.