NIS2-underviser: Dokumentation er utrolig vigtig

I foråret blev Europa-Parlamentet og Det Europæiske Råd enige om teksten til lovgivningen bag det kommende Net- og Informationssikkerhedsdirektiv, NIS2-direktivet, der afløser NIS-direktivet. De nye regler skal sikre et højt niveau af cybersikkerhed på tværs af medlemslandene. NIS2-direktivet omfatter flere sektorer, flere virksomheder og stiller krav om minimumssikkerhedsforanstaltninger og rapportering af sikkerhedshændelser. Det får betydning for, hvordan vi arbejder med cybersikkerhed i Danmark.

EU-Kommissionen færdiggjorde den endelige version af lovteksten i midten af juli, hvor man kunne læse den på teknisk niveau. Europa-Parlamentet forventer at stemme om direktivet i november, og cirka 21 måneder senere skal de danske love og bekendtgørelser efterleves.

I 2018 blev NIS-direktivet implementeret i Danmark og har dannet rammen for, hvordan vi beskytter netværk- og informationssystemer. Både cybertruslen og digitaliseringen er siden 2018 øget, og medlemsstaterne i EU står overfor mange fælles udfordringer i forhold til cybersikkerhed på tværs af landegrænser. Med NIS2 er der fokus på reglerne på tværs af medlemslandene, fortæller Morten Eeg Ejrnæs Nielsen, der arbejder som selvstændig sikkerhedsrådgiver med fokus på risikooverblik og samspillet mellem informationssikkerhed og compliance.

”Det nye direktiv skal sikre en større grad af harmonisering af reglerne på tværs af medlemslandene, ved at gøre det mere klart, hvilke organisationer der er omfattet, hvilke typer sikkerhedskrav der skal efterleves, hvordan der føres tilsyn med virksomhedernes efterlevelse samt mere håndgribelige sanktioner”.

Morten Eeg Ejrnæs Nielsen har arbejdet med databeskyttelse, informationssikkerhed og trusselsvurdering i en lang række offentlige og private organisationer og benyttes som underviser på IDAs kursus NIS2 – kom godt fra start. På kurset er fokus blandt andet på, hvordan man i sin organisation skaber overblik og afdækker, hvilke områder der skal arbejdes med for at efterleve direktivet.

”Det vigtige er i høj grad, at man har forstået, at man skal se på alle de systemer, som i et eller andet omfang er relevante for leverancen af vigtige tjenester ud mod samfundet, og at man ud fra det kan dokumentere risikovurderinger, samt håndtering af identificerede risici. Dokumentation er utrolig vigtig,” siger Morten Eeg Ejrnæs Nielsen.

NIS2 kræver aktiv deltagelse fra ledelsens side

Med de nye regler i NIS2-direktivet følger også nye krav - og ikke mindst ansvar - for ledelsen. Direktivet forsøger at sætte fokus på, at en risikobaseret tilgang kræver aktiv deltagelse fra ledelsens side, derfor er der en artikel med krav til ledelsens engagement.

”Der stilles nu krav om, at det er ledelsen, der godkender de sikkerhedsforanstaltninger, som skal implementeres på baggrund af risikovurderingerne, og at der føres tilsyn med implementeringen af disse sikkerhedsforanstaltninger,” siger Morten Eeg Ejrnæs Nielsen.

For at sikre at virksomhederne lever op til kravene i NIS2-direktivet, indeholder direktivet forskellige typer af sanktioner, hvis virksomhederne ikke overholder reglerne. Sanktioneringerne kan ske i form af for eksempel kritik, påbud og bøder. Bøderne lader til at ligge under GDPR med bøder til væsentlige enheder på op til €10.000.000 eller 2 % af omsætningen, og for vigtige enheder på €7.000.000 eller 1,4 % af omsætningen. Det er trin 1 i håndhævelsen overfor virksomheder.

Viser trin 1 sig ikke at have effekt, går man til trin 2, hvor organisationen mister sin godkendelse/ certificering, eller ledelsen bliver frakendt retten til at være ledere i organisationen. Begge dele af trin 2 er dog kun midlertidige, indtil det vurderes, at man kan efterleve kravene i NIS2.

Direktivet kommer derfor også med krav om, at ledelsen regelmæssigt følger specifikke kurser for at opnå tilstrækkelig viden og færdigheder til at forstå og vurdere cybersikkerhedsrisici og styringspraksisser samt deres indvirkning på enhedens drift

Nyt kursus – kom godt fra start med NIS2

Det kan være svært at sætte en proces i gang med at efterleve kravene fra NIS2. Det kræver forståelse for kravene, og hvad de reelt betyder i den enkelte organisation. Derfor har udviklet IDA et kursus, der henvender sig til it-, sikkerheds- og compliancemedarbejdere i organisationer omfattet af NIS2-direktivet.

”Kurset giver både en forståelse af direktivets omfang, viden om hvad det betyder for de omfattede organisationer og virksomheder samt gode input til, hvordan man kommer i gang med at implementere direktivets krav,” siger Rikke Waldorff Jensen, kompetencekonsulent og ansvarlig for IDA Learnings IT-kurser. Hun fortsætter:

”Kurset giver et rigtigt godt overblik over hvad direktivet indeholder og hvordan man efterlever kravene – det er et overblikskursus, men et godt sted at starte for at få den nødvendige viden”.