Cybersikkerhed: Her bør fokus lægges på nyt EU-direktiv

Dette er et debatindlæg: Finans bringer løbende indlæg fra specialister og meningsdannere. De er alle udtryk for den pågældende skribents egen holdning.

Implementeringen af NIS 2-direktivet er lige om hjørnet, hvor en række sektorer vil blive mødt af skærpede krav til deres håndtering af cyber- og informationssikkerhed per 1. marts 2025.

Senest har Forsvarsministeriet sendt et rammelovforslag i høring, som sammen med Energistyrelsens forslag vil dække NIS 2-implementeringen i de 15 NIS 2-berørte sektorer, bortset fra tele- og finanssektoren. Rammeforslaget skal først omsættes til bekendtgørelser før virksomheder får en sektorspecifik tekst. Vejledningen er således fortsat minimal, men mange virksomheder kan med fordel fokusere på nogle få nøgleområder for at komme godt fra start.

Den risikobaserede tilgang

Med implementeringen af NIS 2 kan det være nærliggende at tro, at gennemgribende ændringer i virksomhedernes drift er nødvendige, ligesom mange oplevede med GDPR i 2018. Men for langt de fleste virksomheder, der allerede har sikkerheden og databeskyttelsen i orden, vil NIS 2 ikke betyde en komplet omvæltning.

Det er sjældent en fordel at starte helt forfra, når nye krav og standarder skal implementeres. I stedet bør virksomheder tage udgangspunkt i det, de allerede har, og anvende de eksisterende processer så vidt muligt, samt tilpasse dem efter de nye krav.

NIS 2 stiller krav om, at virksomheder skal rapportere hændelser i tre trin. Lignende rapporteringskrav kendes allerede fra GDPR, og virksomheder, der har implementeret ISO 27001 eller andre sikkerhedsstandarder, vil være bekendt med hændelseshåndtering og -rapportering.

Ved implementeringen af NIS 2 kan virksomheder med fordel se på de processer og kapaciteter, der allerede er etableret, og udnytte det arbejde, der allerede er udført.

Med NIS 2 bliver virksomheder nødt til at kortlægge deres risici og sikkerhedsforanstaltninger for at udvikle en struktureret og risikobaseret tilgang til at mindske de eksisterende risici. Det er afgørende at komme i gang med denne øvelse, da kortlægningen vil være ressourcekrævende og tage tid. Dog bør man, samtidig og så tidligt som muligt begynde at nedbringe risici, og vores erfaring viser, at medarbejdere ofte vil have kendskab til, hvor der allerede er behov for at forbedre sikkerheden.

I takt med kortlægning, og at man får et mere detaljeret overblik over risikobilledet, kan den strukturerede risikobaserede tilgang bedre kobles til prioritering af initiativer og allokering af ressourcer. På den måde kan områder med størst risiko adresseres først - altså der, hvor det gør mest ondt.

Internt overblik og dokumentation

For at beskytte virksomheden er det afgørende at forstå, hvad der skal beskyttes. Derfor er det nødvendigt at have overblik over og dokumentere de vigtigste processer, IT-systemer, databaser og leverandører samt at definere, hvad der er kritisk både for virksomhed og for samfund.

At have et internt overblik hænger tæt sammen med kravet om en risikobaseret tilgang. Uden et klart overblik over kritiske systemer, leverandører og processer er det svært at anlægge en effektiv risikobaseret strategi.

Et godt overblik vil også forbedre virksomhedsstyringen og optimere driften. Det vil hjælpe med at definere roller og ejerskab for systemer og processer, hvilket bidrager til en mere struktureret og ansvarlig forvaltning.

Dokumenteringen af virksomhedens forskellige elementer bør inkludere input fra alle relevante afdelinger og funktioner. Mange tænker, at cybersikkerhed hører til i IT-afdelingen, hvilket ofte medfører, at meget cyber-compliance ender dér. Selvfølgelig vil cyber-compliance i høj grad involvere IT, især med implementeringen af tekniske foranstaltninger.

Men det er vigtigt at understrege, at cybersikkerhed ikke kun er en opgave for IT-afdelingen. At opnå og vedligeholde et dokumenteret overblik kræver tværgående samarbejde og skal ikke alene håndteres i IT.

Kortlægningsarbejdet bør startes med udgangspunkt i processer og ikke IT-systemer. Ved at kortlægge virksomhedens processer kan man bedre identificere de kritiske komponenter, forstå sammenhæng og afhængigheder, og dermed prioritere beskyttelsesindsatsen mere effektivt. Dette gør også virksomhederne mere omstillingsparate, når ny lovgivning som NIS 3, GDPR 2 eller andre regler bliver introduceret.

Leverandørstyring og -ejerskab

Et område, der ofte kræver særlig opmærksomhed og volder virksomheder store udfordring, er leverandørstyring. Ansvaret lander typisk et sted mellem indkøbsafdelingen, compliance, legal og driften. Manglen på klart definerede roller og ansvar kan skabe forvirring og ineffektivitet, hvilket øger risikoen og i sidste ende resultere i hændelser.

Det er derfor afgørende at have veldefineret ejerskab af virksomhedens leverandører, med udspecificerede ansvarsområder og en grundig forståelse af tilsynsprocesser.

En væsentlig del af leverandørstyringen indebærer også en grundig vetting af leverandørerne, særligt for kritisk IT inden det integreres i virksomhedens drift. Dette omfatter en omfattende evaluering og dokumentation af leverandørernes sikkerhedspraksis, ejerstruktur, hændelseshåndtering, underleverandører mv.

Det er ikke nok blot at vælge leverandører baseret på deres produkt, ydelse eller pris; det er nødvendigt at gennemføre en dybdegående vurdering for at sikre, at de opfylder de nødvendige krav.

Ved at etablere klare retningslinjer og procedurer for leverandørstyring kan man minimere risiciene og sikre, at alle har en fælles forståelse af deres ansvar og forventninger – både internt i virksomheden og hos leverandøren. Dette skaber ikke kun en mere sikker og stabil drift, men giver også en bedre forståelse for den eksterne risikoeksponering.

Styrk cyberhygiejnen

At skabe en bred forståelse for cybersikkerhed og en sikkerhedskultur er fundamentalt for at styrke sin parathed. Alle medarbejdere bør have en forståelse for grundlæggende cyberhygiejne og for deres egen betydning for virksomhedens sikkerhed, herunder hvordan de medvirker til at beskytte og vedligeholde IT-systemer og processer i virksomheden. Det vil forbedre virksomhedens evne til at reagere på hændelser og skabe et effektivt forsvar mod fremtidige angreb.

Det kan ikke understreges nok, hvor afgørende det er for virksomheder at investere i deres medarbejderes forståelse for cybersikkerhed. Den menneskelige faktor er stadig den største risikokilde i forhold til sikkerhedshændelser, og med den hurtige udvikling inden for AI og teknologi generelt, bliver det kun mere væsentligt at medarbejderne kontinuerligt trænes.

Dette er afgørende for at beskytte virksomhedens data og systemer, men også et direkte krav fra NIS 2-direktivet, som fremhæver vigtigheden af en stærk cyberkultur i alle dele af organisationen.