Viden, der skaber værdi for dig
Kom nemt i mål med NIS2
Der er ingen grund til at betale dyre lærepenge, når man kan stå på ryggen af andres erfaring.
Informationssikkerhedsret er en efterhånden gammel disciplin, som vi har haft fornøjelsen af at udøve i mange år.
For at hjælpe dig bedst muligt på rette vej, har vi sammensat et klassisk implementeringsforløb i kasserne nedenfor.
Har du spørgsmål til de enkelte trin er du altid velkommen til at kontakte os – det koster ikke noget.
NIS2-implementering i praksis
Ledelsesforankring er afgørende for NIS2-efterlevelse, da det sikrer, at informationssikkerheden prioriteres strategisk og integreres i virksomhedens kerneprocesser.
Når ledelsen går foran, øges medarbejdernes bevidsthed og engagement, og en kultur for informationssikkerhed skabes.
Ledelsen allokerer nødvendige ressourcer til compliance, såsom uddannelse og teknologi, og sikrer korrekt implementering af politikker. Desuden muliggør ledelsens støtte kontinuerlig overvågning og forbedring, samt effektiv risikostyring og respons på databrud, hvilket hjælper med at undgå bøder og omdømmeskader.
NIS2 stiller desuden ingen krav om den enkelte organisations risikoappetit, så hvis det ikke er særskilt reguleret, vil det være op til ledelsen, at beslutte hvor længe man vil acceptere at NIS2-aktiviteterne er ude af drift.
En af de vigtigste forudsætninger for effektiv implementering og efterlevelse af NIS2, er den fælles risikoforståelse.
Det er helt grundlæggende at alle i organisationen er indforståede med, at NIS2 handler om at opretholde og reetablere sin leveringsevne.
NIS2 handler eksempelvis om risikoen for at der ikke kommer rent drikkevand ud af hanen, kemikaliesammensætnignen hos vandværket er manipuleret. NIS2 handler også om risikoen for, en bro bliver påsejlet, fordi styringen i et fragtskib er kompromitteret. Og så handler NIS2 selvfølgelig også om risikoen for de omfattede organisationers beredskabsplaner bliver undergravet, fordi de er blevet delt på det store internet.
NIS2 er en af den slags opgaver, hvor ressourceforbruget kan eksplodere, hvis det ikke bliver styret fra starten.
Hvis man gerne vil hurtigt over implementeringen og over i den lettere driftsfase, er anbefalingen klar: Afsæt de nødvendige ressourcer i opstarten til, at få det nødvendige overblik over det samlede implementeringsarbejde og relaterede ressourcetræk.
Reel efterlevelse af NIS2 kan kun opnås, hvis der er enighed i organisationen om, at den virkelighed I taler ind i er retvisende.
Alternativt er der risiko for overimplementering såvel som underimplementering og ingen af delene er ønskværdige.
I de næste trin forklarer vi, hvordan I kan få etableret et retvisende billede af jeres NIS2-aktiviteter.
NIS2 handler essentielt set om at værne om et samfundet.
Det er derfor vigtigt, at holde fokus på de processer og underprocesser, som samfundet understøttes af. Det kan eksempelvis være forsyning af drikkevand, mad eller medicin. Men det kan også være farbare veje, havne og lufthavne.
Uanset hvilken aktivitet, der er årsagen til, at man som organisation er omfattet af reglerne, så skal fokus lægges på beskyttelsen af aktiviteten og de understøttende processer.
Det sker sjældent, at en enkelt person ligger inde med indgående viden om, alle de processer, der er understøtter jeres NIS2-aktiviteter.
Vi anbefaler derfor, at I inddrager de af jeres kollegaer, som kender de enkelte arbejdsgange bedst. De er vigtige allierede i det videre arbejde med afgrænsning af NIS2-arbejdet.
I er nu godt i gang med at få greb om NIS2-arbejdet i jeres organisation.
Ledelsen er taget I ed, risikoforståelsen er ensartet, der er afsat tilstrækkelige ressourcer, og I har i samarbejde med jeres kollegaer fået indblik i de processer, der understøtter jeres NIS2-aktiviteter.
Næste skridt er nu, at undersøge, hvilke værktøjer der bliver brugt i organisationen til at understøtte processerne.
Vi anbefaler, at I tager afsæt i den enkelte aktiviteter og taler med jeres kollegaer om, hvilke it-systemer, mappestrukturer og eventuelt fysiske medier de bruger i deres hverdag. Det skal nævnes, at det sjældent vil være nok, at tale med IT om dette. Det skyldes, at IT som regel ikke har et komplet billede af, hvilke systemer, der reelt bliver brugt i organisationen.
Kortlægningen skrider nu hurtigere og hurtigere frem. Der er styr på processer, personel og systemer.
Næste skridt er at få afklares, hvilken hardware der anvendes. Det er i den sammenhæng vigtigt, at tænke bredt, ud af boksen og så videre.
De fleste bruger naturligvis det materiel, som de har fået af deres arbejdsplads, det hænder dog, at der bliver taget privat maskinel i brug i en snæver vending. Vi anbefaler derfor, at man tilstræber en åben, ærlig og fordomsfri drøftelse om, hvilket materiel, der rent faktisk bliver anvendt.
Dialogen er god. Kollegaerne har fortalt vidt og bredt om, hvilke systemer og hardware de bruger i deres hverdag. Det er helt perfekt, når nu næste skridt er at identificere organisationens leverandører.
Med afsæt i ovenstående er det rent rugbrødsarbejde, at notere hvilke eksterne organisationer, der er involveret i organisationens varetagelse af NIS2-aktiviteter.
Det næste vil være, at undersøge om der er med dem alle. og om de stemmer overens med topledelsens risikoappetit.
”Safety first”, som man siger. Den holder bare ikke i praksis.
Forud for etablering af sikkerhedstiltag ligger vurdering af, hvad der reelt er brug for. Det man gerne vil vide er, om den måde organisationen varetager sine NIS2-aktiviteter indebærer risici for samfundets funktion. Det kunne eksempelvis være manglede ledelsesforankring, der medfører at informationssikkerhedsarbejdet slet ikke bliver prioriteret. Det kunne også være, at der er så travlt i organisationen, at der ikke er tid til at følge op på, om den tekniske understøttelse er sikkerhedsmæssig forsvarlig.
Uanset hvor skoen trykker, skal det skrives ned, så det kan indgå i kortlægningen af NIS2-arbejdet.
Tillykke! I er nu ved sidste skridt i implementeringsarbjedet.
Det er hér topledelsen bliver præsenteret for kortlægningen af organisationens NIS2-aktiviteter, og vigtigst af alt, er det hér topldelsen træder i karaktér og træffer beslutning om, hvorvidt de identificerede risici skal accepteres eller håndteres.
Er der risici, som skal håndteres, vil der naturligvis være et efterspil med den konkrete håndtering. Det kunne eksempelvis være at få genbesøgt sine beredskabsplaner, at få genforhandlet sine leverandørkontrakter eller at implementere nye sikkerhedsløsninger.
Implementeringen er afsluttet. I har nu et funklende og ikke mindst retvisende overblik over organisationens forvaltning af NIS2-aktiviteter.
Sagen er dog den, at det ellers så retvisende og funklende billede over tid mister sin værdi al den stund det ikke forbliver retvisende af sig selv.
Det løbende arbejde med at bevare et retvisende billede og løbende rapportere og håndtere de risici, som dukker op, kan bedst sammenlignes med at træne op til et Marathon. Jo længere der går mellem hvert træningspas, jo hårdere bliver det næste. Vi anbefaler derfor, at der laves en plan for det løbende vedligehold og at arbejdet bliver løftet i flok.