Nyheder fra DBI
Vær altid opdateret
Gå til Nyhedsoversigten

NIS2: Øg sikkerheden – ikke utilfredsheden

Udgivet: 10. december 2024

Multifaktorautentificering, kontinuerlig autentificering, sikret kommunikation og nødkommunikationssystemer er også på to-do-listen for NIS2. Men løsningerne skal være proportionelle i forhold til risiciene; ellers risikerer man at investere for meget og gøre medarbejdernes arbejdsdag unødigt besværlig. Det understreger Daniel Appelon Storgaard, sikkerhedsrådgiver hos DBI.

Gem artikel Artikel gemt
Computerskærm med billede af en lås på dør med adgang forbudt skilt

Hvad går brug af multifaktorautentificering, kontinuerlig autentificering, sikret tale-, video- og tekstkommunikation og sikrede nødkommunikationssystemer ud på i regi af NIS2?

Brugen af avancerede sikkerhedsteknologier handler om at beskytte kritiske data og systemer mod cybertrusler gennem en række tiltag.

Multifaktorautentificering (MFA) er en kernekomponent, der sikrer, at kun autoriserede personer kan få adgang til virksomhedens systemer. Det gør man ved at kombinere flere identifikationslag, f.eks. en adgangskode med en éngangskode fra en app.

Derudover er kontinuerlig autentificering et vigtigt element, der monitorerer en brugers adfærd gennem hele sessionen. Sikkerhedssoftwaren holder øje med, om den person, som er logget ind, har en anden adfærd end normalt. Det reducerer risikoen for, at hackere udnytter en eksisterende forbindelse.

Sikret kommunikation er en anden hjørnesten, hvor krypterede platforme beskytter samtaler og datadeling mod aflytning og manipulation. Det er f.eks. allerede indbygget i kommunikationsplatformene fra Microsoft og Google.

Endelig kan nødkommunikationssystemer sikre, at kommunikationen kan fortsætte selv under et cyberangreb eller systemnedbrud. Disse løsninger er designet til at være robuste og fungere uafhængigt af andre teknologier. Det kan f.eks. være, at nøglemedarbejdere er udstyret med satellittelefon.

Hvorfor er det en del af NIS2?

NIS2-direktivet har til formål at øge cybersikkerheden i EU’s medlemsstater og sikre robusthed i kritisk infrastruktur og vigtige tjenester. Teknologiske foranstaltninger som MFA og sikrede kommunikationssystemer er nødvendige for at:

  • Forhindre og begrænse konsekvensen af cyberangreb
  • Beskytte følsomme data og systemer mod uautoriseret adgang
  • Sørge for kontinuitet i nødsituationer, hvor kommunikation er kritisk

Uden foranstaltninger risikerer virksomheder at miste kontrol over deres data og handlinger, hvilket kan have alvorlige konsekvenser for både drift og omdømme.

Hvordan skal virksomhederne helt konkret forholde sig til det?

I forhold til teknologiske foranstaltninger handler det om at indføre og anvende løsninger, som er relevante. Her er det vigtigt at pointere, at der står i direktivet, at de foranstaltninger, virksomhederne indfører, skal være proportionelle i forhold til de risici, de står overfor. Altså skal virksomhederne ikke nødvendigvis anvende de samme løsninger på alle systemer. Foranstaltningerne skal være tilpassede den potentielle skade, et cyberangreb kan forårsage, hvilket sikrer en effektiv og økonomisk forsvarlig tilgang til cybersikkerhed.

Hvad er en god fremgangsmåde?

Gennemgående for NIS2-direktivet er det virksomhedens ledelse, der skal godkende foranstaltningerne. Ledelsen bør inddrages så tidligt som muligt i processen. På den måde er den med i overvejelserne og kan dermed godkende og beslutte på et oplyst grundlag.

Først og fremmest bør virksomheden foretage en grundig risikovurdering for at identificere kritiske aktiver. Herefter skal der ud fra det enkelte aktiv analyseres, hvilke sårbarheder aktivet har, og hvilke trusler der potentielt kan påvirke det. Når risiciene er kortlagt, skal fokus rettes mod at implementere tilstrækkelige, men realistiske risikoreducerende sikkerhedstiltag.

Eksempler på risikoreducerende tiltag er bl.a., at virksomheden har fokus på både de menneskelige, fysiske og tekniske foranstaltninger, hvor vi tidligere i denne artikelserie har skrevet om cyberhygiejne, awareness og hændelseshåndtering. Men specifikt i forhold til de tekniske foranstaltninger bør man som minimum implementere MFA.

Når de risikoreducerende tiltag er implementeret, er det vigtigt at evaluere dem løbende for at sikre, at de giver de forventede resultater. Tilsvarende er det væsentligt at opdatere risikovurderingen, da cybertruslen hele tiden udvikler sig.

Er der ’faldgruber’, man bør være opmærksom på?

Når virksomheder implementerer sikkerhedsforanstaltninger, er der flere faldgruber, de bør være opmærksomme på.

En af de største er at vælge løsninger, der er unødigt komplekse. Det kan skabe frustration og modstand blandt medarbejderne, hvis foranstaltningerne ikke passer til deres behov eller workflow. F.eks. kan multifaktorautentifikation opleves som tidskrævende, da det uundgåeligt tilføjer et ekstra trin i loginprocessen. Derfor er det vigtigt at vælge løsninger, der balancerer sikkerhed og brugervenlighed, så de passer til medarbejdernes arbejdsgange. Når man tager hensyn til, hvordan medarbejderne arbejder i praksis, sikrer man, at sikkerhedsforanstaltningerne er både effektive og nemme at integrere i dagligdagen.

Læs mere om NIS2


CER & NIS2BeredskabCybersikkerhedResiliensSikring
Daniel Appelon Storgaard
Daniel Appelon Storgaard Sikkerhedsrådgiver
31 96 35 39 das@brandogsikring.dk

Relaterede artikler

Se alle
Det nye NIS2-direktiv fra EU er trådt i kraft. Det skærper kravene til cyber- og informationssikkerhed og kræver en helhedsorienteret og risikobaseret tilgang for danske virksomheder.

Nyt EU-direktiv skærper kravet til cybersikkerhed
CER direktiv

Nyt CER-direktiv skal styrke kritisk infrastruktur i EU

NIS2 nærmer sig: Er din virksomhed klar?
NIS2: Sådan fortsætter du driften, hvis skaden sker

NIS2: Sådan fortsætter du driften, hvis skaden sker
Det nye NIS2-direktiv fra EU er trådt i kraft. Det skærper kravene til cyber- og informationssikkerhed og kræver en helhedsorienteret og risikobaseret tilgang for danske virksomheder.

NIS2: Ved du, hvordan du skal håndtere hændelser?
Den nye minister for samfundssikkerhed og beredskab Torsten Schack Pedersen (t.h.) bliver budt velkommen i ministerkredsen af forsvarsminister Troels Lund Poulsen.

DBI hilser ministerium for samfundssikkerhed og beredskab velkommen
NIS2: Planlæg, hvordan I kontrollerer indsatsen mod cybertrusler

NIS2: Planlæg, hvordan I kontrollerer indsatsen mod cybertrusler
NIS2: Kryptering er et krav

NIS2: Kryptering er et krav

Relaterede kurser

Se alle
Resiliens: Fra beredskab og krisestyring til fortsat drift

I en verden præget af stigende usikkerhed, globale kriser og uforudsigelige hændelser bliver beredskabsplanlægning, krisestyring og fortsat drift stadig vigtigere for virksomheder og organisationer.Dette forløb består af tre kurser og giver deltagerne praktiske værktøjer og strategier til at navigere i et komplekst risikobillede, herunder naturkatastrofer, cyberangreb, pandemier og andre kritiske hændelser, der truer virksomhedernes evne til at operere og eksistere.Modul 1: Beredskabsplanlægning i praksis: Beredskabsplanlægning handler om at udvikle et robust internt beredskab med dertilhørende planer, der gør din virksomhed/organisation i stand til at forberede sig på og reagere effektivt over for forskellige risici.I en tid, hvor trusler kan opstå fra både interne og eksterne kilder, vil deltagerne på kurset lære at identificere relevante risici og udarbejde strategier, der minimerer deres potentielle påvirkning på den daglige drift. Modul 2: Krisestyring i praksis: Krisestyring træner deltagerne i hurtigt og effektivt at håndtere krisesituationer for at beskytte virksomhedens/organisationens medarbejdere, værdier og omdømme. I en verden præget af uforudsigelige hændelser er det afgørende at kunne organisere en effektiv krisestyring og kommunikere klart under pres. Kurset i krisestyring i praksis har i høj grad fokus på håndtering af en kritisk hændelse på ledelsesniveau. Modul 3: Business Continuity: Med et kursus i plan for fortsat drift sikres det, at virksomheder/organisationer kan opretholde deres vigtigste aktiviteter og fortsætte driften, selv når de står over for alvorlige forstyrrelser. I en globaliseret økonomi, hvor sammenbrud i forsyningskæder og markedsfluktuationer er udbredte, er det vitalt at have en plan for fortsat drift for at beskytte virksomhedens bundlinje og fastholde kunderne.Kursusmål: At styrke deltagernes evne til at udvikle og implementere effektive strategier inden for beredskabsplanlægning, krisestyring og forretningskontinuitet. Målet er, at de kan beskytte deres virksomhed eller organisation mod et bredt spektrum af globale udfordringer og sikre deres langsigtede succes.Du sparer 5.663 kr. ved at købe kurserne/modulerne som en samlet pakke, men de kan også tages enkeltvis:BeredskabsplanlægningKrisestyringBusiness Continuity

Krisestyring i praksis

Krisestyring i praksis er et kursus for dig, der har ingen eller kun lidt erfaring med at håndtere hændelser, som kan true virksomhedens evne til at producere eller eksistere.Kurset er designet til at styrke dine kompetencer inden for krisestyring og tænke ”next step”, hvilket bidrager til at beskytte virksomhedens ansatte, værdier og bundlinje.Krisestyring er et strategisk og taktisk værktøj til at sikre virksomhedens fortsatte drift på bedst mulig vis ved påvirkning af en potentiel kritisk hændelse.Som deltager får du effektive værktøjer til at opbygge, organisere og gennemføre krisestyring i overensstemmelse med virksomhedens beredskabsplan.

Business Continuity (fortsat drift)

Et kursus i fortsat drift styrker virksomhedens evne til at levere produkter og service kontinuerligt, selv under kriser, og bidrager til at fastholde eksisterende kunder samt tiltrække nye forretningsmuligheder. En effektiv plan for fortsat drift beskytter ikke kun bundlinjen, men også virksomhedens forretningsinteresser, hvilket gør det til en hjørnesten i god virksomhedsstyring og en klog forretningsinvesteringDeltagerne på dette kursus får praktiske værktøjer til at sikre medarbejdere og driften under krisesituationer, samt træning i at opretholde kritiske leverancer med minimal påvirkning af de væsentligste forretningsaktiviteter.

Beredskabsplanlægning i praksis

Effektiv beredskabsplanlægning beskytter ikke kun virksomhedens ansatte og værdier, men sikrer også forretningskontinuiteten. En stærk beredskabskultur er hjørnestenen i håndteringen af hændelser og udgør samtidig en klog forretningsinvestering.Beredskabsplanlægning i praksis er et kursus for dig, uanset om du er nybegynder eller har flere års erfaring i opbygningen af et beredskab, og som ønsker at styrke dine faglige kompetencer inden for beredskabsplanlægning.Du får effektive værktøjer til at identificere risici ved hændelser, som kan påvirke driften, til at planlægge beredskabet ved sådanne hændelser, og til at maksimere læring og forbedringer gennem evalueringer efter en hændelse

OPRET DIG SOM BRUGER OG HOLD DIG OPDATERET PÅ NYHEDER OM BRAND OG SIKRING