Hvad er NIS2?
NIS2-direktivet er en EU-forordning, der indfører strammere cybersikkerhedskrav og gælder som lovkrav for virksomheder inden for bestemte sektorer. Det er vigtigt for virksomheder at forstå og implementere dette direktiv, da det ikke er et valgfrit tiltag, men en nødvendighed dikteret af EU for at styrke beskyttelsen mod cybertrusler. Overholdelse er essentiel, ikke kun for at sikre egne operationer, men også for at opretholde tillid hos kunder og partnere i lyset af stigende digitale risici.
Når det kommer til net- og informationssikkerhed, har NIS2-direktivet rejst nye standarder, som virksomheder inden for visse sektorer skal overholde.
Med den endelige deadline for implementering 17. oktober 2024, er det afgørende at forstå, hvilke krav der stilles, og hvordan man forbereder sin organisation til at være compliant.
Her er en guide til, hvad du bør vide og gøre ift. NIS2.
Hvilke Krav Stiller NIS2 til Din Organisation?
NIS2-direktivet udvider ansvarsområderne og skærper kravene til virksomhedernes håndtering af cybersikkerhed:
Krav til ledelsen
Ledelsen skal have dyb indsigt i og aktivt deltage i risikostyringsprocessen og sikre, at alle direktivets krav opfyldes.
Krav til kontrol og risikostyring
Virksomheden skal gennemføre robuste risikostyringspraksisser, herunder incident management, sikkerhed i forsyningskæden, netværkssikkerhed, adgangskontrol og anvendelse af kryptering.
Krav til drift og backup af systemer
Der skal udvikles planer for at sikre driften i tilfælde af cyberangreb, herunder genoprettelse af systemer og nødprocedurer.
Krav til Rapportering
Større sikkerhedshændelser skal rapporteres til de relevante myndigheder inden for 24 timer.
Hvornår er man compliant med NIS2?
Compliance opnås, når din organisation har implementeret de nødvendige sikkerhedsforanstaltninger som foreskrevet af NIS2 og kan dokumentere dette gennem interne audits og rapporteringer til relevante myndigheder. Det er vigtigt, at disse tiltag er integreret i dagligdagen og løbende vedligeholdes og opdateres.
Hvordan forbereder du dig til NIS2?
For at sikre, at din organisation overholder NIS2-direktivet, kræver det en grundig og strategisk tilgang til cybersikkerhed. Her er de skridt, du kan tage for at forberede dig:
01
Risikovurdering: Begynd med at identificere kritiske data og systemer i din virksomhed. Vurder risikoen og find sikkerhedshuller for at forstå, hvor din virksomhed er mest sårbar. Dette hjælper med at prioritere de nødvendige sikkerhedsforanstaltninger.
02
Sikkerhedsstrategi: Der skal udvikles en omfattende sikkerhedsstrategi baseret på din risikovurdering. Strategien skal inkludere politikker og procedurer til at mindske risici, såsom stærk adgangskontrol og kryptering, samt planer for håndtering af sikkerhedsbrud.
03
Implementering tekniske foranstaltninger: Omsæt din sikkerhedsstrategi til handling ved at implementere tekniske løsninger som firewalls og antivirusprogrammer. Det er også essentielt at træne medarbejdere i disse sikkerhedsprotokoller og sikre, at de forstår deres roller og ansvar.
04
Etablere rapporteringsprocedurer: Der implementeres regelmæssige og pålidelige backups af vigtige data, og test af gendannelsesprocesserne for at sikre, at de fungerer korrekt, hvis der opstår problemer.
Hvordan kan IT Confidence hjælpe med NIS2?
Navigering i NIS2’s kompleksitet kan være en udfordring, især for organisationer uden en dedikeret cybersikkerhedsafdeling.
Hos IT Confidence A/S har vi samlet en ”checkliste” på de områder og indsatser der bør udføres for at virksomhedens infrastruktur er klar til at kunne understøtte NIS2. Når vi gennemgår infrastrukturen hos en kunde anvender vi principperne fra CIS18 kontrollerne som støtteværktøj sammenfattet med en CTAP scanning med en FortiGate firewall i kundens infrastruktur. Se mere her.
Her er en liste over specifikke tiltag, der kan hjælpe med at sikre NIS2-overholdelse:
Netværkssegmentering
Segmentér netværket: Del virksomhedens netværk op i forskellige segmenter baseret på følsomheden af data og funktioner. Dette forhindrer en hacker i at få adgang til hele netværket, hvis de bryder ind i en del af det.
Adgangskontrol mellem segmenter: Implementér streng adgangskontrol mellem de forskellige segmenter, så kun autoriseret personale har adgang til kritiske dele af netværket.
Implementering af Multi-Factor Authentication (MFA)
MFA på kritiske systemer: Sørg for, at alle brugere, især dem med adgang til kritiske systemer, benytter MFA. Dette tilføjer et ekstra lag af sikkerhed udover brugernavn og adgangskode.
MFA til fjernadgang: Implementér MFA for alle former for fjernadgang til virksomhedens systemer, f.eks. VPN-forbindelser.
Patch Management
Automatiserede opdateringer: Opsæt automatiske sikkerhedsopdateringer for alle systemer og applikationer, så kendte sårbarheder lukkes hurtigt.
Patch Management-proces: Implementér en proces til regelmæssig kontrol og opdatering af alle systemer, især dem der indeholder kritiske data.
Overvågning og logning
Centraliseret logning: Opsæt et centralt system til logning af aktiviteter på tværs af alle netværk og systemer. Dette gør det nemmere at spore og analysere sikkerhedshændelser.
Sikkerhedsovervågning: Implementér et Security Information and Event Management (SIEM)-system til realtids overvågning og analyse af sikkerhedslogs for at opdage unormale aktiviteter.
Sikkerhedskopiering og katastrofegenoprettelse
Regelmæssig backup: Sørg for, at alle kritiske data og systemer regelmæssigt sikkerhedskopieres. Backups bør opbevares både on-site og off-site.
Test af genoprettelsesplaner: Regelmæssigt teste virksomhedens katastrofegenoprettelsesplan for at sikre, at data og systemer kan gendannes hurtigt i tilfælde af et sikkerhedsbrud.
Adgangsstyring
Princip om mindst privilegium: Implementér adgangskontrol baseret på princippet om mindst privilegium, hvor brugere kun har adgang til de data og systemer, de absolut har brug for.
Regelmæssig gennemgang af adgangsrettigheder: Gennemgå jævnligt adgangsrettigheder for at sikre, at ingen har unødvendig adgang til kritiske systemer.
Intrusion Detection and Prevention Systems (IDPS)
IDS/IPS-installation: Installer Intrusion Detection Systems (IDS) og Intrusion Prevention Systems (IPS) for at opdage og blokere uautoriserede forsøg på adgang til netværket.
Konfiguration og tuning: Sørg for, at IDPS er korrekt konfigureret og tilpasset virksomhedens specifikke trusler og netværksmiljø.Kryptering af Data
Kryptering af følsomme data: Krypter alle følsomme data både i hvile (på harddiske, servere osv.) og under transport (mellem klienter og servere).
Kryptering af backup-data: Sørg for, at alle backups også er krypteret for at forhindre uautoriseret adgang.
Opdatering af Legacy systemer
Identifikation af legacy systemer: Gennemgå infrastrukturen for at identificere ældre systemer, som måske ikke længere understøttes af sikkerhedsopdateringer.
Opgradering eller udskiftning: Opgradér eller udskift disse legacy systemer med moderne, sikkerhedssikrede alternativer.
Sikkerhedstest og penetrationstests
Regelmæssige sikkerhedstest: Gennemfør regelmæssige sikkerhedstest, herunder penetrationstests, for at identificere sårbarheder i systemer og netværk.
Sårbarhedsscanninger: Implementér automatiserede sårbarhedsscanninger, der løbende søger efter kendte sårbarheder.
Sikkerhedstræning og bevidstgørelse
Løbende træning: Gennemfør regelmæssig sikkerhedstræning for medarbejdere, herunder awareness-programmer, der fokuserer på phishing, sociale manipulationer og sikker adfærd online.
Simulerede angreb: Brug phishing-simulationer og andre typer simulerede angreb til at teste og forbedre medarbejdernes evne til at genkende og rapportere trusler.
Overholdelse af standarder
ISO 27001-certificering: Overvej at implementere ISO 27001 eller andre relevante standarder for informationssikkerhedsstyring, da disse er i tråd med NIS2-kravene.
Hos ITC Confidence A/S er vi selv ISAE 3402-2 certificeret af BDO.
GDPR-overholdelse: Sørg for, at al datahåndtering er i overensstemmelse med GDPR, da NIS2 også har fokus på databeskyttelse.
At overholde NIS2 kræver en omfattende tilgang til IT-sikkerhed, som integrerer disse tekniske og organisatoriske foranstaltninger i virksomhedens daglige drift. Ved at fokusere på de nævnte områder kan danske virksomheder minimere deres risiko for cybersikkerhedshændelser og sikre, at de lever op til de nye lovgivningsmæssige krav.
NIS2 Overholdelsescheckliste i forhold til procedurer og arbejdsgange
- Risikovurdering
- Udfør en omfattende risikovurdering for at identificere potentielle sikkerhedstrusler.
- Dokumentér og implementer risikostyringsforanstaltninger for at afbøde identificerede risici.
- Ledelsesmæssig forankring
- Sørg for, at virksomhedens ledelse er informeret og engageret i IT-sikkerhedsstrategien.
- Udvikl en klar politik for ledelsens ansvar i forhold til IT-sikkerhed og efterlevelse af NIS2-krav.
- Sikkerhedspolitikker og procedurer
- Implementér og vedligehold robuste sikkerhedspolitikker, der omfatter alle aspekter af IT-sikkerhed.
- Regelmæssig opdatering og gennemgang af sikkerhedspolitikker for at sikre overholdelse af de nyeste standarder.
- Incident Management
- Etabler en effektiv incident management-proces, som inkluderer identifikation, rapportering og håndtering af sikkerhedshændelser.
- Udarbejd en plan for hændelsesrespons, som sikrer hurtig og effektiv reaktion på sikkerhedsbrud.
- Rapportering af Sikkerhedshændelser
- Opsæt procedurer for at rapportere væsentlige sikkerhedshændelser til relevante myndigheder inden for den krævede tidsramme (normalt inden for 24 timer).
- Sørg for, at alle medarbejdere er klar over rapporteringskravene og ved, hvordan de skal agere i tilfælde af en hændelse.
- Sikkerhedsforanstaltninger
- Implementér tekniske og organisatoriske sikkerhedsforanstaltninger såsom:
- Kryptering af følsomme data.
- Regelmæssige sikkerhedsopdateringer og patches.
- Netværks- og systemovervågning.
- Adgangskontrol og autentificeringsmekanismer.
- Leverandørstyring
- Gennemgå og sikre, at alle leverandører, som håndterer virksomhedens data eller systemer, overholder NIS2-kravene.
- Indgå aftaler med leverandører, der specificerer sikkerhedskrav og ansvar.
- Bevidsthed og Uddannelse
- Gennemfør regelmæssige trænings- og bevidsthedskampagner for medarbejdere for at sikre, at de er opdateret på IT-sikkerhedsprocedurer.
- Sørg for, at der findes klare retningslinjer og instruktioner for sikkerhedsadfærd.
- Dokumentation og Revision
- Dokumentér alle sikkerhedsforanstaltninger, politikker og procedurer, og opdater dem regelmæssigt.
- Gennemfør interne og eksterne revisioner for at evaluere overholdelsen af NIS2.
- Kontinuitetsplanlægning
- Udvikl og vedligehold en forretningskontinuitetsplan, der inkluderer beredskabsplaner for IT-sikkerhedshændelser.
- Test og opdater kontinuitetsplanen regelmæssigt.
Nationale Ressourcer og Vejledninger
Danske virksomheder kan desuden støtte sig til ressourcer fra relevante myndigheder som f.eks. Center for Cybersikkerhed (CFCS), der tilbyder vejledning og retningslinjer for overholdelse af NIS2-direktivet. CFCS udgiver ofte specifikke vejledninger og anbefalinger, der kan hjælpe virksomheder med at opfylde direktivets krav.
Hvad sker der, hvis jeg ikke overholder NIS2?
Manglende overholdelse kan medføre strenge sanktioner, herunder bøder og tvungne revisioner. Virksomhedens ledelse kan også blive personligt ansvarlig. Det er derfor kritisk at forstå og implementere de nødvendige sikkerhedsforanstaltninger.
Hvordan fører myndighederne tilsyn?
Myndighederne vil gennemføre løbende tilsyn, som kan omfatte revisioner, rapportering og peer reviews. For visse typer virksomheder kan der foretages tvungne revisioner, hvis der er mistanke om manglende compliance.
Hvornår skal NIS2 være implementeret? (Information fra DI)
NIS2-direktivet forventes at træde i kraft den 1. januar 2025, efter flere løbende udskydelser. Virksomheder, der er omfattet, skal forberede sig på at leve op til de skærpede cybersikkerhedskrav fra denne dato. Selvom der fortsat mangler afklaring på nogle punkter, er det vigtigt allerede nu at begynde forberedelserne for at sikre overholdelse, når direktivet træder i kraft.
Usikker på NIS2?
Er du usikker på, hvordan du skal håndtere NIS2 i din organisation, kan IT Confidence hjælpe.
Hos IT Confidence er vi dedikeret til at hjælpe din virksomhed med at blive og forblive compliant med NIS2. Kontakt os for en dybdegående vurdering og for at sikre, at du er fuldt forberedt til at møde disse nye krav.
Overvågning og Logning
- Centraliseret logning: Opsæt et centralt system til logning af aktiviteter på tværs af alle netværk og systemer. Dette gør det nemmere at spore og analysere sikkerhedshændelser.
- Sikkerhedsovervågning: Implementér et Security Information and Event Management (SIEM)-system til realtids overvågning og analyse af sikkerhedslogs for at opdage unormale aktiviteter.