kort om nis2-direktivet

I en tid, hvor digitaliseringen accelererer og cybertrusler bliver stadig mere avancerede, er det essentielt for virksomheder at styrke deres cyber- og informationssikkerhedsforanstaltninger.

Dette bringer os til den kritiske vigtighed af NIS2-direktivet, en opdatering og udvidelse af EU’s direktiv om net- og informationssikkerhed, som har til formål at øge det digitale forsvar over hele EU. Læs mere om NIS2-direktivet her.

NIS2-direktivet udvider kravene til sikkerhedsforanstaltninger og indberetning af hændelser for en bredere vifte af sektorer og virksomheder, hvilket gør compliance ikke kun til et juridisk krav, men også en forretningsnødvendighed.

Nødvendige kompetencer

En FTE kompetence kunne eksempelvis bestå af en lead implementer/projekleder, en Governance ekspert, en cybersikkerhed ekspert samt en risiko ekspert.

Det er vores erfaring at den det nye NIS2-direktiv stiller store krav til en række kompetencer og det vil typisk ikke være tilstrækkelig med en Lead implementer/projektleder. 

Leave a Mark har alle kompetence til rådighed inhouse, hvilket betyder at vi hurtigt kan sammensætte den FTE kompetence, du har behov for.

Har man allerede implementeret ISO27001 kan man forholdsvis let udvide den med NIS2 kravene.

Vi har implementeret NIS2 for bl.a. Energinet, Norlys og ProMark
Læs deres cases her

NIS2 Implementeringsproces: En trin-for-trin guide

TRIN 1 - FORBEDERELSE OG RISIKOVURDERING

I første fase analyserer vi NIS2-direktivets krav og undersøger, hvordan de specifikt relaterer sig til din organisations kontekst. Dette indebærer en identificering af de områder inden for din organisation, der falder ind under direktivet anvendelsesområde.
 
Vi udarbejder en detaljeret Business Impact Analysis (BIA), som har til formål at identificere og vurdere potentielle sikkerhedstrusler mod din organisations informationssystemer. Denne analyse indebærer identificering af kritiske aktiver, potentielle sårbarheder og sandsynligheden for forskellige trusselscenarier. Gennem BIA’en opnår vi en forståelse af din organisation modenhed og risikoprofil inden for cybersikkerhed.
 
Resultaterne fra BIA’en danner grundlaget for udviklingen af en tilpasset implementeringsplan, der adresserer specifikke trusler og sårbarheder. Denne plan omfatter klare trinvise mål, ressourceallokering og tidsrammer for implementering af nødvendige sikkerhedsforanstaltninger. Ved at basere vores indsats på denne fremgangsmåde, adresserer vi organisationens specifikke udfordringer og behov, som sikrer en målrettet og effektiv tilgang til NIS2 overholdelse.

TRIN 2 - PLANLÆGNING OG DESIGN

I denne fase bruger vi resultaterne fra den tidligere udførte Business Impact Analysis (BIA) sammen med din organisations nuværende IT-sikkerhed til at udarbejde en implementeringsplan. Implementeringsplanen er designet til at adressere både de tekniske og organisatoriske aspekter af cybersikkerhed.

På det tekniske niveau kan planen omfatte opdateringer af eksisterende IT-infrastruktur, implementering af avancerede sikkerhedsløsninger og konfiguration af netværksbeskyttelse. Dette kan indebære installation af firewall-systemer, intrusion detection/prevention-systemer, antivirussoftware og andre værktøjer til beskyttelse mod cybertrusler. Samtidig vil vi sikre, at disse tekniske foranstaltninger er i overensstemmelse med de gældende standarder og retningslinjer.

På det organisatoriske niveau vil vi arbejde på at udvikle eller tilpasse politikker og procedurer, der er fundamentale for NIS2 overholdelse. Dette kan omfatte udvikling af klare retningslinjer for håndtering af sikkerhedshændelser, etablering af en beredskabsplan og uddannelse af medarbejdere i sikkerhedsprocedurer og bedste praksis.

TRIN 3 - IMPLEMENTERING

I denne fase iværksætter vi en omfattende implementering af de nødvendige politikker, procedurer og kontroller for at sikre en konsistent IT-sikkerhed i din organisation. NIS2-direktivet definerer en række obligatoriske foranstaltninger, som vi følger:

  • Risikoanalyse og informationssystemsikkerhed: Gennemførelse af risikoanalyser for at identificere og vurdere potentielle trusler mod dine informationssystemer og implementerer passende sikkerhedsforanstaltninger.
  • Håndtering af hændelser: Etablering af robuste procedurer til håndtering af sikkerhedshændelser, herunder indberetning, analyse og respons for at minimere skader og genoprette normal drift hurtigt.
  • Driftskontinuitet: Sikring af kontinuitet i driften gennem backup-løsninger, reetableringsprocedurer og en veldefineret beredskabsplan.
  • Løbende vurdering af sikkerhedsforanstaltninger: Implementering af processer til løbende at evaluere og opdatere dine sikkerhedsforanstaltninger i overensstemmelse med udviklingen i trusselslandskabet og din organisations behov.
  • Uddannelse af medarbejdere: Udvikling og levering af skræddersyede træningsprogrammer for at sikre, at alle medarbejdere forstår deres ansvar og rolle for at beskytte organisationens systemer og data.
  • Kryptering: Implementering af robuste krypteringsløsninger for at sikre fortroligheden og integriteten af dine data, både under lagring og transmission.
  • Personalesikkerhed og adgangskontrol: Etablering af strenge adgangskontrol og implementering af procedurer til at sikre personalesikkerheden og begrænse adgangen til følsomme oplysninger.

 

Som en integreret del af implementeringen udarbejdes en omfattende beredskabsplan, der sikrer håndtering af kriser og katastrofer for at minimere skade og sikre hurtig genopretning. Denne plan inkluderer ansvarsområder, kommunikationsprocedurer og genoprettelsesstrategier.

Vores erfaring fortæller os, at implementeringen kan variere afhængigt af virksomhedens ressourcer og tidligere indsats indenfor IT-sikkerhed. Derfor er det fundamentalt at starte implementeringen i god tid for at sikre, at alle nødvendige tiltag er på plads inden NIS2 træder i kraft den 1. januar 2025.

Med vores brede erfaring indenfor implementering af IT-standarder sikrer vi en effektiv gennemførelse, der opfylder organisationens behov og overholder lovgivningens krav

TRIN 4 - Overvågning og vedligholdelse

Vi implementerer processer til løbende overvågning af sikkerhedsforanstaltninger for at sikre, at din organisation forbliver beskyttet mod konstante og udviklende trusler. Vi anbefaler som udgangspunkt, at trusselslandskabet evalueres to gange årligt for at sikre, at eventuelle nye trusler identificeres, og passende tiltag implementeres for at mitigere deres påvirkning.

Det er vigtigt at forstå, at compliance med NIS2 ikke er et engangsprojekt. Vi tilbyder derfor regelmæssige revisioner og opdateringer af sikkerhedsforanstaltninger for at sikre, at din organisation forbliver i overensstemmelse med direktivet over tid.

Vores primære mål er at gøre implementeringsprocessen så effektiv som mulig, så din virksomhed ikke kun opfylder de juridiske krav, men også styrker cybersikkerheden i organisationen som helhed. Ved at vælge os som din partner sikres der adgang til dybdegående ekspertise og en tilgang, der er skræddersyet til din virksomheds unikke behov og udfordringer.

Ring og få en uforpligtende snak med os på +45 535 27000