NIS2 kommer – men hvad betyder det for dig?
NIS2 er i løbet af det seneste år blevet et buzzword inden for informationssikkerhed, og i løbet af de kommende halvandet år bliver direktivet til dansk lovgivning. Men hvad skal man være opmærksom på, og hvor meget kommer det reelt til at betyde for den enkelte virksomhed?
Ingen kan forudse fremtiden, og det er derfor svært at sige noget om, hvad NIS2 overordnet set kommer til at betyde for virksomheder og myndigheder, når det danske samfund i 2024 underlægges nye krav til informationssikkerheden. Der skal dog ikke herske tvivl om, at direktivet kommer til at have betydning for niveauet i store dele af den offentlige sektor og i virksomheder, der varetager væsentlige og vigtige samfundsopgaver.
Virksomheder i vildrede
Den store opmærksomhed fra medier og forskellige markedsaktører har fået mange til at spærre øjnene op og slå lyttelapperne ud. I alt dette har mange virksomheder og sikkerhedsansvarlige svært ved at få klarhed over deres egen situation i relation til direktivet. Derfor henvender de sig i øjeblikket i stor stil til rådgivende konsulenter og jurister m.h.p. at finde ud af, om og hvordan de vil blive omfattet.
Svarene på disse henvendelser vil paradoksalt nok være, at lovgivningen endnu ikke er kendt, og at vi derfor må afvente, til der foreligger noget mere konkret. Dette betyder imidlertid ikke, at artiklerne i direktivet ikke skal tages alvorligt, for uanset om man bliver omfattet direkte eller ej, er principperne fra NIS2 fornuftige at tage afsæt i i informationssikkerhedsledelsen.
NIS2 som konkurrenceparameter
Direktivets målgruppe rækker vidt, og lige nu estimeres det, at mindst 1079 danske virksomheder vil blive omfatteti. Derfor er det sandsynligt, at endnu flere vil blive omfattet indirekte gennem kontraktlige forhold med omfattede enheder.
For disse virksomheder vil dokumenterede informationssikkerhedstiltag med fordel kunne anvendes som et konkurrenceparameter i eksisterende og fremtidige samarbejder med organisationer inden for direktivets anvendelsesområde.
Gå i gang nu
Omfattet eller ej, vil et minimumniveau af informationssikkerhed altid være anbefalelsesværdigt, og det kan være en god idé at lade kravene danne fundament for dette. Man kan forberede sig på de krav, som følger med direktivet, ved at arbejde med følgende punkter:
- Dokumentér risikostyringsprocesser – og etablér processerne, hvis de ikke eksisterer i dag
- Lav procedurer og beredskabsplaner til hændelseshåndtering
- Tilsikr opretholdelse af kritisk drift i tilfælde af en hændelse
- Få overblik over sikkerhedsrelaterede aspekter i dine leverandørforhold
- Lav en proces til vurdering af risikostyringens effektivitet
Få hjælp udefra
Det kan virke uoverskueligt at komme i gang, hvis man ikke har dedikerede ressourcer eller indblik i strategisk- og organisatorisk sikkerhed. Heldigvis er der mulighed for at hente hjælp udefra til at strukturere disse opgaver for virksomheden.
Man skal i denne proces være opmærksom på, at det bedste resultat altid vil involvere en vis dedikation fra virksomheden selv, da ejerskab i sikkerhedstiltag er alfa og omega for at sikre forankring og levedygtighed. I den sammenhæng er det afgørende, at en ansvarshavende bliver udpeget, og at denne har en realistisk tilgang til virksomhedens modenhed i relation til informationssikkerhed. Rammer man ikke inden for skiven, risikerer man, at investeringen falder til jorden og er spildt; omvendt kan gode intentioner drukne i alt for høje ambitioner.
Atea tilbyder hjælp til at lave en realistisk køreplan for jeres informationssikkerhedsledelse, der tager højde for alle parametre inden for bedste praksis; fra etableringen af en sikkerhedsorganisation og GRC til IRT og hændelseshåndtering.
