NIS2 - lovkrav
Artikel 21 i NIS2-direktivet indeholder 10 indsatsområder - de såkaldte foranstaltninger - til styring af cybersikkerhedsrisici. De stiller en række krav til både ledelse, risikostyring, forretningskontinuitet og rapportering til myndighederne.
Som Industriens Fond fremhæver, så er den endelige danske implementeringsmodel endnu ikke er fastligt, og der kan derfor stadig ske ændringer. Dog er det klart at kravene til cybersikkerhed skærpes markant. Du kan læse mere om kravene nedenfor.
Det er vigtigt, at der udføres en risikoanalyse, så der er en klar forståelse af de farer, der er forbundet med, at jeres virksomhed kan blive udsat for et cyberangreb. Analysen skal også addressere hvilke konsekvenser et potentielt cyberangreb kan have for jeres forretning.
I Trifork Security er vi vant til at hjælpe vores kunder med risikoanalyse. En risikoanalyse gør jer i stand til at træffe nødvendige foranstaltninger og indføre sikkerhedspolitikker, der gør jer i stand til at håndtere risici på den rigtige måde.
Er I interesseret i at høre mere er vi altid parat til at tage en snak.
Hvis uheldet er ude er det afgørende, at I har en plan for at håndtere hændelsen og ved hvordan I administrerer situationen når skaden er sket.
I skal kunne evaluere omfanget og karakteren af hændelsen - og er der tale om en krisesituation, skal I kunne aktivere en beredskabsplan, der allerede er parat og blevet testet regelmæssigt. Beredskabsplanen afdækkes i det næste krav.
Det er ekstremt vigtigt, at I har en beredskabsplan klar, så alle ved, hvem der har ansvaret, og hvad der skal gøres for at minimere omfang og indvirkning af hændelsen.
Et af de centrale elementer i et effektivt kriseberedskab er at proceduren for back-ups er afklaret. Back-ups kan, i de fleste tilfælde, hjælpe i processen med at genskabe tabt data og sidenhen bidrage til at sikre hurtig genoprettelse af virksomhedens drift.
En kæde er kun så stærk som sit svageste led, og det gælder også for sikkerheden i en forsyningskæde.
For at undgå at blive kompromitteret via et svagt led i jeres forsyningskæde er det afgørende, at I har overblik og forståelse for sikkerhedsrelaterede forbindelser til leverandører og samarbejdspartnere.
Vær opmærksom på vigtigheden af it-sikkerhed i forbindelse med erhvervelse, udvikling og drift af jeres virksomheds net- og informationssystemer. Dette omfatter også håndtering og offentliggørelse af sårbarheder.
Derudover er det afgørende, at I implementerer tiltag til at forebygge og opdage angreb mod disse systemer.
For at kunne vurdere effektiviteten af sikkerhedspolitikker og procedurer er det forventet, at I udfører tests og reviderer sikkerhedstiltagene løbende.
På den måde tjekkes effektiviteten af planer og processer og sikrer at virksomheden er modstandsdygtig over for potentielle hændelser.
Man siger, at cybersikkerhed består af tre komponenter: Mennesker, processer og teknologi, og selvom teknologi spiller en rolle, er det specielt mennesker og processer, man bør være opmærksom på.
Det er derfor essentielt at have en solid cyberhygiejne. Det betyder etablering af gode sikkerhedsrutiner, herunder stærke adgangskoder og regelmæssig opdatering software - og så anbefales det også at medarbejderne bliver trænet i cybersikkerhed. Det er afgørende at træningen vedligeholdes og opdateres med nye tiltag og arbejdsgange.
Hvis jeres virksomhed benytter kryptering, skal der indføres politikker i forbindelse med brugen af kryptografi. Det er nødvendigt at overveje, hvilke data der skal krypteres og på hvilken måde.
Det omfatter både data i centrale systemer, data på computere og telefoner, eksternt opbevarede data samt kommunikation mellem systemer, hvor der udveksles data.
Et centralt element indenfor cybersikkerhed er at der er styr på brugerrettigheder; hvem har adgang til hvilke systemer og data. Endvidere er det vigtigt at at rettighederne bliver opdateret når der sker ændringer i organisationen.
Som en yderligere sikkerhedsforanstaltning er det en god idé at der tilbydes træning indenfor sikkerhed, databeskyttelse- og etik til den øverste ledelse og bestyrelse.
Det sidste krav stiller skarpt på vigtigheden af brugen af multifaktorautentificering eller kontinuerlig autentifikation, som bør benyttes hvor det er muligt.
Det er også vigtigt at der benyttes sikrede kommunikationsmetoder såsom tale-, video- og tekstkommunikation.
