Sponseret indhold

Sådan sætter ledelsen standarden for cybersikkerhed

Diana Görlitz,  lead auditor DNV Business Assurance Denmark
Diana Görlitz, lead auditor DNV Business Assurance Denmark

Af:

Når EU’s NIS2-direktivt bliver implementeret i Danmark i efteråret 2024, betyder det skærpede sikkerhedskrav til en bred skare af virksomheder. Med det nye direktiv får ledelsen også et større ansvar. DNV, der er en af verdens førende udbydere af certificeringer inden for cyber- og informationssikkerhed, opfordrer virksomhederne til at bruge den anerkendte ISO 27001 standard til at drive arbejdet med at sikre overholdelse af NIS2. Standarden kobler kravene i NIS2 og informationssikkerhed med god virksomhedsledelse.

Cyberangreb på kritisk infrastruktur bliver hyppigere og er en reel trussel mod de europæiske samfund – også det danske. Det så vi i foråret 2023, hvor en række forsyningsvirksomheder afværgede et angreb. Med NIS2-direktivet bliver der stillet bredere og dybere krav til at øge sikkerhedsniveauet i virksomheder, der arbejder med kritisk infrastruktur.

”Med det nye direktiv er virksomhederne forpligtet til at have en politik, en metode og en frekvens til at evaluere deres informationssikkerhed, hvilket ligger i tråd med at have et ISO-baseret ledelsessystem,” siger Diana Görlitz, der er lead auditor i DNV Business Assurance Denmark A/S, og hun uddyber:

”Cyber- og informationssikkerhed er for alvor kommet på den ledelsesmæssige agenda. ISO 27001 er den ”best practice” standard, der kobler informationssikkerhed og god virksomhedsledelse sammen. ISO 27001 hjælper virksomhederne med at beskytte kritiske oplysninger, data og systemer og med at sikre overholdelse af gældende lovgivning som fx kravene i NIS2.”

Ledelsesstandarden ISO 27001 er en af verdens mest udbredte metoder til at styre cyber- og informationssikkerheden, som allerede bruges af tusindvis af virksomheder globalt. Hvis man arbejder med ISO 27001 og bliver certificeret efter kravene i den, så er det også et krav, at man overholder lovgivningen, også når det gælder NIS2. Derfor er netop ISO 27001 et oplagt værktøj til at drive compliancearbejdet med.

Ledelsen skal kende NIS2
Det nye NIS2 direktiv stiller blandt andet krav til ledelsesforankret risikostyring og fælles indberetning af cybersikkerhedshændelser. Det betyder, at ledelsen helt op på bestyrelsesniveau skal kende kravene i NIS2 og styre risici på et strategisk niveau.

”ISO 27001 tager udgangspunkt i en risikobaseret tilgang til styring af informationssikkerhed. En certificering i standarden er samtidig et udtryk for, at ledelsen kan dokumentere, at de har kompetencerne til at arbejde med sikkerheden og dermed overholde kravene i NIS2,” siger Diana Görlitz og uddyber:

”Fordelen ved at bruge ISO 27001 og blive certificeret er, at virksomhederne får et godt ledelsesværktøj til at nå sine mål og samtidig betyder certificeringen, at virksomheden bliver holdt op på sine processer, så der er en rød tråd for både ledelsen og medarbejderne.”

Kom i gang med certificeringen
For at hjælpe virksomheder godt i gang har DNV, der på verdensplan har udstedt mere end 90.000 certificeringer, skræddersyet en række uddannelser til de virksomheder, der bliver omfattet af det nye direktiv, og som skal implementere et ledelsessystem. Og DNV tilbyder desuden også et gratis kortlægningsværktøj, som kan bruges, hvis man vil i gang med ISO 27001.

”At have de rette kompetencer er afgørende for at drive en ansvarlig cyber- og informationssikkerhed, og det understreger NIS2, når der er krav om, at topledelsen faktisk skal være direkte involveret i risikovurderingen. Så for mange ledere vil et kursus ikke bare være en god ide, men en nødvendighed, hvis man skal dokumentere overfor myndighederne, at man overholder den kommende lovgivning”, forklarer Diana Görlitz.

Hvem er omfattet af NIS2?
Det er væsentligt at vide om man er direkte omfattet af NIS2. Og dem, der er direkte omfattet, er blandt andet brancher som energi, transport, bankvæsen, finansielle markedsinfrastrukturer, sundhed, drikkevandsforsyning og distribution, digital infrastruktur og online markedspladser, online søgemaskiner, clouding, spildevand og affaldshåndtering, offentlig administration, rumfart, fødevareproduktion, behandling og distribution, fremstilling af visse vigtige produkter, fx medicinske, post og kurertjenester, fjernvarme og distribution, datacentre og sociale platforme.

Men selv om din virksomhed ikke er direkte omfattet, kan den blive ramt indirekte via kunder eller samarbejdspartnere. Hvis man er i tvivl, er det en god ide, at få foretaget en applicabilitetsvurdering af et advokatfirma med speciale i NIS2. Implementeringen af NIS2 får dansk retsvirkning i efteråret 2024. Selv om datoen er udskudt til efter den oprindelige deadline i oktober 2024, så er tiden knap, hvis man som virksomhed skal nå at have alle de nødvendige sikkerhedsforanstaltninger på plads. Virksomheder, der ikke overholder NIS2-kravene, kan forvente bødestraffe på op mod 2-4 mio. euro eller 1-2% af deres globale omsætning.

Med det nye direktiv er virksomhederne forpligtet til at have en politik, en metode og en frekvens til at evaluere deres informationssikkerhed, hvilket ligger i tråd med at have et ISO-baseret ledelsessystem

Mest læste på BusinessReview.dk

genopbygningafbørsen
Tillæg: Genopbygning af Børsen
2N Pharma gruppebillede redigeret
”Hvis vi har ret, vil det forandre verden”
ejd 130624
Ejendomme Epaper
-
Forretningsrejserne er blevet mere sociale
IMG_0424
Bæredygtige træbroer boomer over hele landet

DNV er et af verdens førende certificeringsorganer. Gennem certificering af ledelsessystemer og kurser hjælper vi virksomheder med at håndtere risici, sikre overholdelse af krav og skabe bæredygtig drift af virksomheder, for mennesker og i hele værdikæden.

Læs mere på www.dnv.dk/nis2

Læs også

Datacenter interiør
Kunstig intelligens stiller store krav til fremtidens datacentre
At drive et datacenter handler om meget mere end blot at putte en masse servere ind i en bygning. Stigende krav til applikationer og...
Natasha Saxberg, Sep 2021, IT, IT-branchen
AI bliver anderledes end alle andre revolutioner
Hvor den industrielle revolution omkring 1800-tallet og automatiseringsbølgen i starten af 1900-tallet i høj grad påvirkede medarbejdere...
Chatbot chat AI concept, artificial intelligence Businessman usi
Standardbrugerflader mindsker frygten for kunstig intelligens
I it-virksomheden itm8 arbejder man blandt andet med at implementere kunstig intelligens i mellemstore virksomheder. Ifølge partner...