Når EU’s NIS2-direktivt bliver implementeret i Danmark i efteråret 2024, betyder det skærpede sikkerhedskrav til en bred skare af virksomheder. Med det nye direktiv får ledelsen også et større ansvar. DNV, der er en af verdens førende udbydere af certificeringer inden for cyber- og informationssikkerhed, opfordrer virksomhederne til at bruge den anerkendte ISO 27001 standard til at drive arbejdet med at sikre overholdelse af NIS2. Standarden kobler kravene i NIS2 og informationssikkerhed med god virksomhedsledelse.
Cyberangreb på kritisk infrastruktur bliver hyppigere og er en reel trussel mod de europæiske samfund – også det danske. Det så vi i foråret 2023, hvor en række forsyningsvirksomheder afværgede et angreb. Med NIS2-direktivet bliver der stillet bredere og dybere krav til at øge sikkerhedsniveauet i virksomheder, der arbejder med kritisk infrastruktur.
”Med det nye direktiv er virksomhederne forpligtet til at have en politik, en metode og en frekvens til at evaluere deres informationssikkerhed, hvilket ligger i tråd med at have et ISO-baseret ledelsessystem,” siger Diana Görlitz, der er lead auditor i DNV Business Assurance Denmark A/S, og hun uddyber:
”Cyber- og informationssikkerhed er for alvor kommet på den ledelsesmæssige agenda. ISO 27001 er den ”best practice” standard, der kobler informationssikkerhed og god virksomhedsledelse sammen. ISO 27001 hjælper virksomhederne med at beskytte kritiske oplysninger, data og systemer og med at sikre overholdelse af gældende lovgivning som fx kravene i NIS2.”
Ledelsesstandarden ISO 27001 er en af verdens mest udbredte metoder til at styre cyber- og informationssikkerheden, som allerede bruges af tusindvis af virksomheder globalt. Hvis man arbejder med ISO 27001 og bliver certificeret efter kravene i den, så er det også et krav, at man overholder lovgivningen, også når det gælder NIS2. Derfor er netop ISO 27001 et oplagt værktøj til at drive compliancearbejdet med.
Ledelsen skal kende NIS2
Det nye NIS2 direktiv stiller blandt andet krav til ledelsesforankret risikostyring og fælles indberetning af cybersikkerhedshændelser. Det betyder, at ledelsen helt op på bestyrelsesniveau skal kende kravene i NIS2 og styre risici på et strategisk niveau.
”ISO 27001 tager udgangspunkt i en risikobaseret tilgang til styring af informationssikkerhed. En certificering i standarden er samtidig et udtryk for, at ledelsen kan dokumentere, at de har kompetencerne til at arbejde med sikkerheden og dermed overholde kravene i NIS2,” siger Diana Görlitz og uddyber:
”Fordelen ved at bruge ISO 27001 og blive certificeret er, at virksomhederne får et godt ledelsesværktøj til at nå sine mål og samtidig betyder certificeringen, at virksomheden bliver holdt op på sine processer, så der er en rød tråd for både ledelsen og medarbejderne.”
Kom i gang med certificeringen
For at hjælpe virksomheder godt i gang har DNV, der på verdensplan har udstedt mere end 90.000 certificeringer, skræddersyet en række uddannelser til de virksomheder, der bliver omfattet af det nye direktiv, og som skal implementere et ledelsessystem. Og DNV tilbyder desuden også et gratis kortlægningsværktøj, som kan bruges, hvis man vil i gang med ISO 27001.
”At have de rette kompetencer er afgørende for at drive en ansvarlig cyber- og informationssikkerhed, og det understreger NIS2, når der er krav om, at topledelsen faktisk skal være direkte involveret i risikovurderingen. Så for mange ledere vil et kursus ikke bare være en god ide, men en nødvendighed, hvis man skal dokumentere overfor myndighederne, at man overholder den kommende lovgivning”, forklarer Diana Görlitz.
Hvem er omfattet af NIS2?
Det er væsentligt at vide om man er direkte omfattet af NIS2. Og dem, der er direkte omfattet, er blandt andet brancher som energi, transport, bankvæsen, finansielle markedsinfrastrukturer, sundhed, drikkevandsforsyning og distribution, digital infrastruktur og online markedspladser, online søgemaskiner, clouding, spildevand og affaldshåndtering, offentlig administration, rumfart, fødevareproduktion, behandling og distribution, fremstilling af visse vigtige produkter, fx medicinske, post og kurertjenester, fjernvarme og distribution, datacentre og sociale platforme.
Men selv om din virksomhed ikke er direkte omfattet, kan den blive ramt indirekte via kunder eller samarbejdspartnere. Hvis man er i tvivl, er det en god ide, at få foretaget en applicabilitetsvurdering af et advokatfirma med speciale i NIS2. Implementeringen af NIS2 får dansk retsvirkning i efteråret 2024. Selv om datoen er udskudt til efter den oprindelige deadline i oktober 2024, så er tiden knap, hvis man som virksomhed skal nå at have alle de nødvendige sikkerhedsforanstaltninger på plads. Virksomheder, der ikke overholder NIS2-kravene, kan forvente bødestraffe på op mod 2-4 mio. euro eller 1-2% af deres globale omsætning.