Kommuner, regioner, styrelser: NIS2 kræver, at I kan dokumentere jeres eget sikkerhedsniveau.
Det kræver også, at I kan dokumentere jeres leverandørers.
Kan I det? Altså, virkelig?
200 kommuner. Én leverandør.
200 svenske kommuner blev lammet, fordi én IT-leverandør blev hacket. Alle 200 havde kontrakter med leverandøren. Da angrebet ramte, stod 200 kommuner uden adgang til deres fagsystemer.
Kendte sårbarheder. Ingen handlede.
I Danmark kritiserede Rigsrevisionen Statens IT for kendte sårbarheder i netværksudstyr, der betjener 23 ministerier. 91% af netværksudstyret kunne have været opdateret med sikkerhedsrettelser, der allerede var tilgængelige.
Ingen havde gjort det.
Ikke en fjern virkelighed
Det er ikke eksempler fra en fjern virkelighed. Det er den offentlige sektors hverdag, når leverandørstyring er et punkt i en kontrakt og ikke en praksis i organisationen.
Ifølge analyser af sikkerhedshændelser er tredjepartsinvolvering i databrud fordoblet på ét år, fra 15% til 30%.
For offentlige organisationer, der er afhængige af eksterne IT-leverandører, driftsleverandører og specialistsystemer, er det ikke en statistik.
Det er en direkte trussel mod jeres evne til at levere kerneydelser.
NIS2 er gældende
NIS2 trådte i kraft 1. juli 2025. Alle danske kommuner, regioner og statslige myndigheder er omfattet.
Direktivet kræver dokumentation for risikostyring, incident response, forretningskontinuitet og leverandørstyring. Ikke som ambition. Som lovkrav med tilsyn og sanktioner.
Hvad en NIS2-audit dokumenterer
En NIS2-audit dokumenterer, om I lever op til kravene. Den viser, hvor I står, hvor hullerne er, og hvad der skal prioriteres.
Den giver jer det dokumentationsgrundlag, som loven kræver, og som jeres tilsynsmyndighed forventer.
Loven stopper ikke ved jeres egne systemer
Men loven stopper ikke ved jeres egne systemer.
Den kræver, at I har styr på jeres leverandørkæde.
En leverandøraudit stiller de spørgsmål, som direktivet forventer, at I allerede har stillet: Hvornår blev jeres sikkerhed sidst testet? Har I en beredskabsplan? Hvad sker der med de data, I forvalter, hvis I bliver hacket?
Jeres leverandører er ofte SMV’er
Jeres leverandører er ofte SMV’er, der ikke selv er direkte omfattet af NIS2.
Men de har måske adgang til jeres systemer, jeres kommuners data og jeres kritiske infrastruktur.
Det er jeres ansvar at verificere deres sikkerhedsniveau.
Direktivet pålægger jer at føre kontrol med og stille krav til jeres leverandørers sikkerhed.
Tre ting I kan gøre nu
Kortlæg jeres kritiske leverandører. Hvem har adgang til jeres data, jeres netværk eller jeres fagsystemer? Hvis listen ikke findes, er det jeres første opgave.
Stil konkrete krav, og dokumentér svarene. Hvornår blev leverandørens sikkerhed sidst testet? Har de en beredskabsplan? Hvad sker der med jeres data, hvis de bliver ramt? Mundtlige forsikringer er ikke dokumentation.
Få lavet en NIS2-audit, hvis I ikke allerede har dokumenteret jeres eget sikkerhedsniveau. I kan ikke stille krav til jeres leverandører, hvis I ikke selv kan dokumentere, at I lever op til dem.
Ni måneder er gået
Loven har været gældende i over ni måneder.
Hvad har I gjort siden 1. juli?
Få dokumentation på plads
En NIS2-audit dokumenterer, om I lever op til direktivets krav om risikostyring, incident response, forretningskontinuitet og leverandørstyring. Det er det dokumentationsgrundlag, jeres tilsynsmyndighed forventer.
En leverandøraudit stiller de spørgsmål til jeres leverandører, som NIS2 forventer, at I allerede har stillet. Den dokumenterer deres sikkerhedsniveau, så I kan leve op til jeres lovmæssige ansvar.
Og en cybersikkerhedsaudit giver jer det samlede billede af jeres egen sikkerhedsposition, så I har fundamentet på plads, før I stiller krav til andre.
NIS2 kræver dokumentation. For jer og jeres leverandører. Har I den?
Har I brug for at få NIS2-dokumentation på plads?
Kontakt Nielco IT på telefon 70 13 63 23 eller via kontaktformularen.
