NIS2: Planlæg, hvordan I kontrollerer indsatsen mod cybertrusler
Udgivet: 24. september 2024NIS2-direktivet kræver både en politik og procedurer for kontrol af cybersikkerhed, forklarer Karin Castro, funktionsleder for Analyse, Sikring & Resiliens hos DBI. Politikken fastlægger, hvorfor, hvad, hvor og hvornår virksomheden måler og kontrollerer sin cybersikkerhed, mens procedurerne beskriver, hvordan det skal gøres i praksis.
Hvad går politikker og procedurer ud på i regi af NIS2?
I relation til NIS2-direktivet handler politik og procedurer om at sikre, at virksomhederne har de rette værktøjer til at vurdere effektiviteten af deres risikostyring, så de effektivt kan styre de relevante risici inden for cyber- og informationssikkerhed.
Politikken giver rammen for, hvorfor, hvad, hvor og hvornår en virksomhed skal måle og kontrollere sin egen indsats. Det handler om at vurdere, hvor effektive virksomhedens sikkerhedskontroller og mitigerende tiltag er til at reducere sårbarheder over for de identificerede trusler.
Procedurerne beskriver, hvordan virksomhederne skal føre det ud i livet på operationelt niveau. Det vil sige den praktiske opskrift, der skal følges, så man sikrer både ensartethed og opfyldelse af politikkens krav. Det indebærer, at man overvåger netværk og informationssystemer for potentielle trusler, foretager periodiske tests af sine sikkerhedsforanstaltninger, har dokumentation for foranstaltningerne og deres effektivitet og udarbejder rapportering af hændelser.
Ydermere er træning af medarbejdere en vigtig del af politikken, og træningsprocedurerne skal sikre, at alle forstår deres betydning for, at cyber- og informationssikkerheden kan opretholdes.
Hvorfor er det en del af NIS2?
NIS2 bidrager til at øge modstandsdygtigheden over for cyberangreb. Derfor bør virksomheder løbende arbejde på at forbedre deres foranstaltninger.
Det handler også om at skabe ensartede standarder og procedurer for cybersikkerhed på tværs af EU. Det gør det nemlig lettere at samarbejde og håndtere trusler på tværs. En standardiseret tilgang muliggør en mere objektiv vurdering og sikrer, at virksomhederne er forberedte på de forventede indrapporteringskrav og tilsyn, som NIS2 medfører.
Hvordan skal virksomhederne helt konkret forholde sig til det?
Virksomhederne skal integrere det i deres system til styring af informationssikkerheden. Man kan anvende standarder som ISO 2700X-serien for at få en struktureret tilgang – her først og fremmest 27001 og 27002. Det er vigtigt at indføre interne politikker for risikostyring, der lever op til NIS2-kravene, ligesom man skal sikre, at medarbejderne er trænet i at følge procedurerne.
Derudover skal der implementeres systemer til overvågning og alarmering af hændelser og procedurer for rapportering af hændelser til de relevante myndigheder. Overvågningssystemer kan f.eks. være software, der monitorerer internet- og netværkstrafik med kontroller, der alarmerer ved uregelmæssigheder.
Hvad skal man have med?
Man skal have klare og dokumenterede processer for, hvordan ens målinger og vurderinger udføres. Det er derfor vigtigt at have software og værktøjer til overvågning og analyse af sikkerhedsrisici, ligesom man regelmæssigt skal opdatere sine politikker og procedurer. Den løbende opdatering skal være baseret på en opdateret risikovurdering og erfaringer fra tidligere hændelser.
Kort sagt skal en god politik gøre det tydeligt, 1) hvem der har hvilke roller og ansvar, 2) hvordan man måler effektiviteten af implementerede tiltag, og 3) hvordan man træner medarbejderne i at følge procedurerne korrekt.
Hvad er en god fremgangsmåde?
En god fremgangsmåde starter med en risikovurdering for at identificere virksomhedens nuværende risikoappetit, risikoniveau og potentielle sårbarheder. Derefter skal man lave sin politik og de tilknyttede procedurer, der klart definerer risikostyringsprocesserne og ansvar.
I den forbindelse er det vigtigt at sørge for regelmæssig træning af medarbejderne, så man sikrer sig, at de forstår og følger politikken og procedurerne. Politikken skal også beskrive virksomhedens tekniske løsninger til overvågning og alarmering sammen med en handlingsplan for hændelseshåndtering.
Hvilke ‘faldgruber’ bør man være opmærksom på?
Uden fuld opbakning fra ledelsen kan det være svært at implementere og opretholde effektive foranstaltninger, fordi det kræver, at der afsættes ressourcer til det. Og så kan manglende eller dårlig træning af medarbejdere føre til fejl.
Når man laver sin risikovurdering, skal man tænke på både eksterne og interne trusler – og det skal afspejles i virksomhedens politikker og procedurer. Hvis man udelukkende fokuserer på eksterne trusler og ignorerer potentielle interne trusler som f.eks. ‘insidere’, kan det give store sårbarheder. F.eks. kan en utilfreds medarbejder med ubegrænset adgang til virksomhedens systemer og informationer udgøre en trussel og gøre betydelig skade.
