Nyheder fra DBI
Vær altid opdateret
Gå til Nyhedsoversigten

NIS2: Kender du dine medarbejdere – og har de adgang til for meget?

Udgivet: 20. november 2024

Baggrundstjek af medarbejdere og styring af deres adgang i virksomheden – både digitalt og fysisk – er nogle er de ting, som NIS2-direktivet foreskriver. DBI’s sikkerhedsrådgivere Ken Bjørkholm og Flemming Lorentzen opsummerer her personalesikkerhed, politikker for adgangskontrol og asset management.

Gem artikel Artikel gemt
Tastatur og computerskærm, med en hængelås på

Hvad drejer personalesikkerhed, politikker for adgangskontrol og asset management sig om i regi af NIS2?

Personalesikkerhed handler om at sikre, at de medarbejdere, der arbejder med virksomhedens kritiske systemer, er pålidelige og kompetente. Det indebærer bl.a. baggrundstjek, også kendt som vetting, der kan afdække eventuelle risici ved ansættelser. Desuden handler det om at klarlægge roller og ansvar, så ingen får adgang til systemer, de ikke har brug for.

Adgangskontrol fokuserer på at implementere ‘need-to-know’-princippet, der begrænser både digital og fysisk adgang til det absolut nødvendige. Asset management sikrer, at virksomheder har overblik over deres materielle og immaterielle aktiver og kan prioritere dem i forhold til, hvad der er kritisk for driften.

Hvorfor er det en del af NIS2?

Sikkerhed i forbindelse med medarbejdere, adgangskontrol og styring af aktiver er afgørende for at beskytte virksomheder mod situationer, der kan true deres drift. Et enkelt svagt led – som en uopmærksom medarbejder eller en uklar adgangspolitik – kan få store konsekvenser. Derfor stiller NIS2-direktivet krav om procedurer, der reducerer risikoen for menneskelige fejl og sikrer, at medarbejdere kun har adgang til det, de skal bruge.

Asset management hjælper med at identificere de aktiver, der er mest kritiske for driften, så virksomheder kan beskytte dem effektivt mod angreb, nedbrud og andre trusler.

Hvordan skal virksomhederne helt konkret forholde sig til det?

Et første trin i et kontinuerligt arbejde kan være at udføre en GAP-analyse, som er en metode til at identificere forskellen mellem virksomhedens nuværende sikkerhedsniveau og de krav, NIS2 stiller. Analysen hjælper med at finde de områder, hvor der er mangler, og hvor indsatsen skal prioriteres. F.eks. kan det afdække, at multifaktorgodkendelse mangler på kritiske systemer, eller at et serverrum er fysisk placeret et sted med risiko for oversvømmelse.

Når de største sårbarheder er identificeret, kan virksomheden implementere løsninger, der målrettet mindsker risikoen. Her spiller ledelsen som ansvarlig for ændringerne en afgørende rolle – enten ved selv at gennemføre dem eller ved at give en sikringsansvarlig mandat og ressourcer til at gøre det.

Hvad skal man sørge for at omfatte?

Personalesikkerhed kræver mere end blot baggrundstjek. For det handler også om at træne medarbejdere til at forstå deres rolle i virksomhedens sikkerhed. Klarhed om adgangskontrol er lige så vigtig. Arkivstyring kan sikre, at medarbejdere kun har adgang til de data og systemer, der er relevante for deres arbejdsopgaver.

Tilsvarende gælder for den fysiske adgangskontrol. En ‘klassiker’ er, at det uden tvivl flinke rengøringspersonale har nøglekort, som giver adgang til det meste døgnet rundt. Det kan sagtens være, at den adgang bør begrænses, og at den under alle omstændigheder bør ske i et tidsrum, hvor man kan overvåge arbejdet.


Asset management kræver en løbende opdatering af oversigter over kritiske aktiver, så virksomheder kan handle hurtigt og effektivt, hvis der opstår problemer.

Hvad er en god fremgangsmåde?

En god tilgang starter med at kortlægge risici og identificere de vigtigste aktiver. Dernæst handler det om at implementere løsninger, der både er teknisk robuste og praktisk gennemførlige. F.eks. kan man installere adgangskontrolsystemer, så kun specifikke medarbejdere får adgang til følsomme områder, og digitale systemer kan segmenteres for at minimere risikoen for interne trusler.

Derudover bør træning af medarbejdere prioriteres for at reducere risikoen for menneskelige fejl. En stærk sikkerhedskultur er mindst lige så vigtig som tekniske foranstaltninger.

Er der faldgruber, man bør være opmærksom på?

En af de største faldgruber er ‘tunnelsyn’ – altså at fokusere for meget på ét område og overse andre. Det er bedre at have 20 % styr på alle områder end at ignorere nogle områder helt. Det er nemlig ofte i de oversete områder, de største sårbarheder opstår. F.eks. er det ikke nok at have fuld kontrol over it-systemerne, hvis den fysiske adgang til serverrummet ikke er sikret.

En anden udfordring er manglende opbakning fra ledelsen. Hvis det ikke er en prioritet for ledelsen, bliver det svært at få sikkerhedspolitikkerne implementeret på tværs af organisationen. Endelig er risikoen for menneskelige fejl altid til stede – og den kan kun reduceres med klare procedurer, løbende træning og en åbenhedskultur, hvor medarbejderne taler om fejl og mangler.

Læs mere om NIS2

Ken Bjørkholm
Ken Bjørkholm Sikkerhedsrådgiver

Relaterede artikler

Relaterede kurser

I en verden præget af stigende usikkerhed, globale kriser og uforudsigelige hændelser bliver beredskabsplanlægning, krisestyring og fortsat drift stadig vigtigere for virksomheder og organisationer.Dette forløb består af tre kurser og giver deltagerne praktiske værktøjer og strategier til at navigere i et komplekst risikobillede, herunder naturkatastrofer, cyberangreb, pandemier og andre kritiske hændelser, der truer virksomhedernes evne til at operere og eksistere.Modul 1: Beredskabsplanlægning i praksis: Beredskabsplanlægning handler om at udvikle et robust internt beredskab med dertilhørende planer, der gør din virksomhed/organisation i stand til at forberede sig på og reagere effektivt over for forskellige risici.I en tid, hvor trusler kan opstå fra både interne og eksterne kilder, vil deltagerne på kurset lære at identificere relevante risici og udarbejde strategier, der minimerer deres potentielle påvirkning på den daglige drift. Modul 2: Krisestyring i praksis: Krisestyring træner deltagerne i hurtigt og effektivt at håndtere krisesituationer for at beskytte virksomhedens/organisationens medarbejdere, værdier og omdømme. I en verden præget af uforudsigelige hændelser er det afgørende at kunne organisere en effektiv krisestyring og kommunikere klart under pres. Kurset i krisestyring i praksis har i høj grad fokus på håndtering af en kritisk hændelse på ledelsesniveau. Modul 3: Business Continuity: Med et kursus i plan for fortsat drift sikres det, at virksomheder/organisationer kan opretholde deres vigtigste aktiviteter og fortsætte driften, selv når de står over for alvorlige forstyrrelser. I en globaliseret økonomi, hvor sammenbrud i forsyningskæder og markedsfluktuationer er udbredte, er det vitalt at have en plan for fortsat drift for at beskytte virksomhedens bundlinje og fastholde kunderne.Kursusmål: At styrke deltagernes evne til at udvikle og implementere effektive strategier inden for beredskabsplanlægning, krisestyring og forretningskontinuitet. Målet er, at de kan beskytte deres virksomhed eller organisation mod et bredt spektrum af globale udfordringer og sikre deres langsigtede succes.Du sparer 5.663 kr. ved at købe kurserne/modulerne som en samlet pakke, men de kan også tages enkeltvis:BeredskabsplanlægningKrisestyringBusiness Continuity

Krisestyring i praksis er et kursus for dig, der har ingen eller kun lidt erfaring med at håndtere hændelser, som kan true virksomhedens evne til at producere eller eksistere.Kurset er designet til at styrke dine kompetencer inden for krisestyring og tænke ”next step”, hvilket bidrager til at beskytte virksomhedens ansatte, værdier og bundlinje.Krisestyring er et strategisk og taktisk værktøj til at sikre virksomhedens fortsatte drift på bedst mulig vis ved påvirkning af en potentiel kritisk hændelse.Som deltager får du effektive værktøjer til at opbygge, organisere og gennemføre krisestyring i overensstemmelse med virksomhedens beredskabsplan.

Et kursus i fortsat drift styrker virksomhedens evne til at levere produkter og service kontinuerligt, selv under kriser, og bidrager til at fastholde eksisterende kunder samt tiltrække nye forretningsmuligheder. En effektiv plan for fortsat drift beskytter ikke kun bundlinjen, men også virksomhedens forretningsinteresser, hvilket gør det til en hjørnesten i god virksomhedsstyring og en klog forretningsinvesteringDeltagerne på dette kursus får praktiske værktøjer til at sikre medarbejdere og driften under krisesituationer, samt træning i at opretholde kritiske leverancer med minimal påvirkning af de væsentligste forretningsaktiviteter.

Effektiv beredskabsplanlægning beskytter ikke kun virksomhedens ansatte og værdier, men sikrer også forretningskontinuiteten. En stærk beredskabskultur er hjørnestenen i håndteringen af hændelser og udgør samtidig en klog forretningsinvestering.Beredskabsplanlægning i praksis er et kursus for dig, uanset om du er nybegynder eller har flere års erfaring i opbygningen af et beredskab, og som ønsker at styrke dine faglige kompetencer inden for beredskabsplanlægning.Du får effektive værktøjer til at identificere risici ved hændelser, som kan påvirke driften, til at planlægge beredskabet ved sådanne hændelser, og til at maksimere læring og forbedringer gennem evalueringer efter en hændelse

OPRET DIG SOM BRUGER OG HOLD DIG OPDATERET PÅ NYHEDER OM BRAND OG SIKRING