Sponseret indhold

Sådan sætter ledelsen standarden for cybersikkerhed

Diana Görlitz, lead auditor DNV Business Assurance Denmark

Af:

Når EU’s NIS2-direktivt bliver implementeret i Danmark i efteråret 2024, betyder det skærpede sikkerhedskrav til en bred skare af virksomheder. Med det nye direktiv får ledelsen også et større ansvar. DNV, der er en af verdens førende udbydere af certificeringer inden for cyber- og informationssikkerhed, opfordrer virksomhederne til at bruge den anerkendte ISO 27001 standard til at drive arbejdet med at sikre overholdelse af NIS2. Standarden kobler kravene i NIS2 og informationssikkerhed med god virksomhedsledelse.

Cyberangreb på kritisk infrastruktur bliver hyppigere og er en reel trussel mod de europæiske samfund – også det danske. Det så vi i foråret 2023, hvor en række forsyningsvirksomheder afværgede et angreb. Med NIS2-direktivet bliver der stillet bredere og dybere krav til at øge sikkerhedsniveauet i virksomheder, der arbejder med kritisk infrastruktur.

”Med det nye direktiv er virksomhederne forpligtet til at have en politik, en metode og en frekvens til at evaluere deres informationssikkerhed, hvilket ligger i tråd med at have et ISO-baseret ledelsessystem,” siger Diana Görlitz, der er lead auditor i DNV Business Assurance Denmark A/S, og hun uddyber:

”Cyber- og informationssikkerhed er for alvor kommet på den ledelsesmæssige agenda. ISO 27001 er den ”best practice” standard, der kobler informationssikkerhed og god virksomhedsledelse sammen. ISO 27001 hjælper virksomhederne med at beskytte kritiske oplysninger, data og systemer og med at sikre overholdelse af gældende lovgivning som fx kravene i NIS2.”

Ledelsesstandarden ISO 27001 er en af verdens mest udbredte metoder til at styre cyber- og informationssikkerheden, som allerede bruges af tusindvis af virksomheder globalt. Hvis man arbejder med ISO 27001 og bliver certificeret efter kravene i den, så er det også et krav, at man overholder lovgivningen, også når det gælder NIS2. Derfor er netop ISO 27001 et oplagt værktøj til at drive compliancearbejdet med.

Ledelsen skal kende NIS2
Det nye NIS2 direktiv stiller blandt andet krav til ledelsesforankret risikostyring og fælles indberetning af cybersikkerhedshændelser. Det betyder, at ledelsen helt op på bestyrelsesniveau skal kende kravene i NIS2 og styre risici på et strategisk niveau.

”ISO 27001 tager udgangspunkt i en risikobaseret tilgang til styring af informationssikkerhed. En certificering i standarden er samtidig et udtryk for, at ledelsen kan dokumentere, at de har kompetencerne til at arbejde med sikkerheden og dermed overholde kravene i NIS2,” siger Diana Görlitz og uddyber:

”Fordelen ved at bruge ISO 27001 og blive certificeret er, at virksomhederne får et godt ledelsesværktøj til at nå sine mål og samtidig betyder certificeringen, at virksomheden bliver holdt op på sine processer, så der er en rød tråd for både ledelsen og medarbejderne.”

Kom i gang med certificeringen
For at hjælpe virksomheder godt i gang har DNV, der på verdensplan har udstedt mere end 90.000 certificeringer, skræddersyet en række uddannelser til de virksomheder, der bliver omfattet af det nye direktiv, og som skal implementere et ledelsessystem. Og DNV tilbyder desuden også et gratis kortlægningsværktøj, som kan bruges, hvis man vil i gang med ISO 27001.

”At have de rette kompetencer er afgørende for at drive en ansvarlig cyber- og informationssikkerhed, og det understreger NIS2, når der er krav om, at topledelsen faktisk skal være direkte involveret i risikovurderingen. Så for mange ledere vil et kursus ikke bare være en god ide, men en nødvendighed, hvis man skal dokumentere overfor myndighederne, at man overholder den kommende lovgivning”, forklarer Diana Görlitz.

Hvem er omfattet af NIS2?
Det er væsentligt at vide om man er direkte omfattet af NIS2. Og dem, der er direkte omfattet, er blandt andet brancher som energi, transport, bankvæsen, finansielle markedsinfrastrukturer, sundhed, drikkevandsforsyning og distribution, digital infrastruktur og online markedspladser, online søgemaskiner, clouding, spildevand og affaldshåndtering, offentlig administration, rumfart, fødevareproduktion, behandling og distribution, fremstilling af visse vigtige produkter, fx medicinske, post og kurertjenester, fjernvarme og distribution, datacentre og sociale platforme.

Men selv om din virksomhed ikke er direkte omfattet, kan den blive ramt indirekte via kunder eller samarbejdspartnere. Hvis man er i tvivl, er det en god ide, at få foretaget en applicabilitetsvurdering af et advokatfirma med speciale i NIS2. Implementeringen af NIS2 får dansk retsvirkning i efteråret 2024. Selv om datoen er udskudt til efter den oprindelige deadline i oktober 2024, så er tiden knap, hvis man som virksomhed skal nå at have alle de nødvendige sikkerhedsforanstaltninger på plads. Virksomheder, der ikke overholder NIS2-kravene, kan forvente bødestraffe på op mod 2-4 mio. euro eller 1-2% af deres globale omsætning.

Med det nye direktiv er virksomhederne forpligtet til at have en politik, en metode og en frekvens til at evaluere deres informationssikkerhed, hvilket ligger i tråd med at have et ISO-baseret ledelsessystem

Seneste nyt

Steffan4 (1)
Stil din transportør til ansvar: Bæredygtig logistik handler om mere end miljø
Henrik Pedersen 1
Instant lønudbetaling til vikarer med Freepay PayOut: Fremtiden er nu
Boxes on laptop computer. online shopping
Den grønne kurv vinder ordren i B2B-indkøb
Kardex_img_Customer_Bonver_01
Fremtidens logistikløsninger: Kardex forvandler e-handelslagre
kort2
De selvbetjenende B2B-kunder

Mest læste på BusinessReview.dk

DSC_0492_just - lab
Dansk brystkræftvaccine skal testes på patienter
_CAP0102
Unilabs Pharma Solutions: Tæt på 40 års erfaring med kliniske studier
Pila Pharma IMG_0725 (2)
PILA PHARMA baner vejen for nye tanker om behandling af diabetes og fedme
Søren-Damgaard-(SD)
Betydningen af forkøbsret og hjemfaldspligt ved ejendomstransaktioner
Steffen Bang Olsen Kromann Reumert frit med redt hår
Ejendomsadvokaten: Erhvervslejelovens § 14: Udlejers ret til at kræve ændring af lejevilkår
OC2A0036_1F
Jeudan går foran med strategi for samfundsansvar
etf021024
Energi Til Fremtiden
Bro med MVA logo
Digital sundhed – et nyt nordisk stronghold?
Nexus_1_CMYK
Ny digital kultur i offshore-industrien
1-Peter på Vesterbrogade
Find din nye rejsepartner her

DNV er et af verdens førende certificeringsorganer. Gennem certificering af ledelsessystemer og kurser hjælper vi virksomheder med at håndtere risici, sikre overholdelse af krav og skabe bæredygtig drift af virksomheder, for mennesker og i hele værdikæden.

Læs mere på www.dnv.dk/nis2

Læs også

Henrik Pedersen 1
Instant lønudbetaling til vikarer med Freepay PayOut: Fremtiden er nu
”Det har altid været et ønske i vores organisation at tilbyde en løsning, hvor arbejdstagere kan få deres penge med det samme efter...
Boxes on laptop computer. online shopping
Den grønne kurv vinder ordren i B2B-indkøb
I Dansk Industri´s B2B e-commerce analyse ses det, at nye bæredygtige trends for alvor slår igennem, når de professionelle danske indkøbere...
Kardex_img_Customer_Bonver_01
Fremtidens logistikløsninger: Kardex forvandler e-handelslagre
Når vi klikker ”køb nu” på en webshop, forventer vi, at varen hurtigt og effektivt lander på vores dørtrin. Men bag den simple handling...