…

 

NIS2-audit

Ved I, hvor I står?

NIS2-direktivet stiller krav til jeres cybersikkerhed. Krav om risikostyring, krav om dokumentation, krav om leverandørstyring. Og ledelsen hæfter personligt.

Spørgsmålet er ikke, om I skal gøre noget. Spørgsmålet er, hvad I mangler, og hvor I skal starte.

En NIS2-audit giver jer svaret.

Hvad kræver NIS2 af jer?

NIS2 er EU’s direktiv for cybersikkerhed i væsentlige og vigtige sektorer. Danmark har implementeret direktivet, og det stiller konkrete krav til jeres virksomhed:

Risikostyring: I skal have styr på jeres risikobillede og træffe passende sikkerhedsforanstaltninger. Læs mere om sikkerhedsmodenhedsvurdering.

Håndtering af sikkerhedshændelser: I skal kunne opdage, håndtere og rapportere sikkerhedshændelser inden for stramme tidsfrister.

Forretningskontinuitet: I skal kunne opretholde drift under og efter et angreb. Det inkluderer backup, gendannelse og krisestyring.

Leverandørstyring: I er ansvarlige for sikkerheden i hele jeres forsyningskæde. Jeres leverandørers sikkerhed er jeres problem. Læs mere om leverandøraudit.

Ledelsesansvar: Ledelsen skal godkende sikkerhedsforanstaltninger og kan holdes personligt ansvarlig ved manglende efterlevelse.

Det er ikke længere noget, I kan overlade til IT-afdelingen alene.

Hvad er en NIS2-audit?

En NIS2-audit er en systematisk gennemgang af, hvordan jeres nuværende sikkerhed matcher direktivets krav.

Jeg kigger på, hvad I allerede har på plads, hvor I har huller, og hvad der skal til for at lukke dem. Ikke en teoretisk øvelse, men en praktisk vurdering af jeres reelle parathed.

I får:

• Overblik over hvilke NIS2-krav der gælder for jer
• Vurdering af jeres nuværende sikkerhedsniveau
• Konkrete fund, hvor I ikke lever op til kravene
• Prioriterede anbefalinger til, hvad I skal gøre først
• Dokumentation I kan vise til tilsynsmyndigheder

Hvem er omfattet af NIS2?

NIS2 rammer bredere end de fleste tror. Direktivet omfatter væsentlige og vigtige enheder i en række sektorer:

Væsentlige enheder: Energi, transport, sundhed, drikkevand, spildevand, digital infrastruktur, offentlig forvaltning, rummet.

Vigtige enheder: Post og kurértjenester, affaldshåndtering, kemikalier, fødevarer, fremstilling af medicinsk udstyr, elektronik, maskiner, motorkøretøjer, digitale udbydere.

Også virksomheder uden for disse sektorer kan være omfattet, hvis de leverer kritiske tjenester til nogen, der er.

Er I i tvivl om, hvorvidt NIS2 gælder for jer, kan vi afklare det i en indledende samtale.

Jeres leverandører bliver også jeres problem

NIS2 stiller krav om leverandørstyring. Det betyder, at I skal vurdere og dokumentere sikkerheden hos de leverandører, I er afhængige af.

Det har to konsekvenser:

Hvis I er omfattet af NIS2: I skal stille krav til jeres leverandører og kunne dokumentere, at I har gjort det. En leverandør med dårlig sikkerhed er jeres risiko.

Hvis I leverer til NIS2-virksomheder: Jeres kunder kommer til at stille krav. De vil have dokumentation for jeres sikkerhed. En NIS2-audit giver jer den dokumentation og viser, at I tager det alvorligt.

Læs mere om leverandøraudit.

Ledelsen hæfter personligt

NIS2 placerer ansvaret for cybersikkerhed hos ledelsen. Ikke IT-chefen, ikke den eksterne leverandør. Ledelsen.

Det betyder, at direktionen og bestyrelsen skal:

• Godkende sikkerhedsforanstaltninger
• Sikre tilstrækkelige ressourcer til cybersikkerhed
• Føre tilsyn med implementeringen
• Deltage i relevant uddannelse

Ved manglende efterlevelse kan ledelsen holdes personligt ansvarlig. Det er ikke længere nok at sige “det var IT’s ansvar”.

En NIS2-audit giver ledelsen det overblik, de har brug for, til at træffe beslutninger og dokumentere, at de har løftet ansvaret.

Erfaring fra sektorer, hvor NIS2-krav ikke er nye

For nogle brancher er NIS2’s krav velkendte. Finanssektoren og kritisk infrastruktur har i årevis arbejdet med strenge sikkerhedskrav, tilsyn og dokumentation.

Min erfaring kommer netop fra de miljøer:

Finanssektoren: Danske Bank og EDC, hvor sikkerhed, compliance og dokumentation altid har været en del af hverdagen.

Kritisk infrastruktur og forsyning: Organisationer, hvor et sikkerhedsbrud kan ramme tusindvis af mennesker. Fortrolighed er en naturlig del af arbejdet her.

Offentlige myndigheder: Styrelser med ansvar for borgernes data og samfundskritiske systemer. Miljøstyrelsen er blandt mine referencer.

Den erfaring betyder, at jeg ved, hvordan krav omsættes til praksis. Ikke kun hvad I skal, men hvordan I kommer derhen.

Sådan foregår en NIS2-audit

1. Afklaring
   Vi starter med at afklare, om og hvordan NIS2 gælder for jer, og hvad I allerede har på plads.
2. Gennemgang
   Jeg gennemgår jeres sikkerhedsforanstaltninger, processer, dokumentation og leverandørstyring op mod NIS2’s krav.
3. Rapport
   I får en rapport med konkrete fund og prioriterede anbefalinger. Hvad mangler I? Hvad er kritisk? Hvad kan vente?
4. Præsentation for ledelsen
   Hvis I ønsker det, kan jeg præsentere resultaterne direkte for direktion eller bestyrelse. De skal forstå, hvad de godkender.

Vil I teste jeres sikkerhed i praksis?

En NIS2-audit vurderer jeres parathed mod kravene. Hvis I også vil teste, om jeres forsvar holder i praksis, kan I supplere med:

• Penetrationstest: Teknisk test af, om en angriber kan bryde ind i jeres systemer.
• Red teaming: Fuld angrebssimulering, der kombinerer teknik, mennesker og fysisk adgang.
• Cybersecurity mystery shopping: Test af, hvordan jeres medarbejdere reagerer på social engineering.
• Teknisk sikkerhedsgennemgang: Grundig gennemgang af jeres infrastruktur og konfigurationer.

Det får I med en NIS2-audit hos Nielco IT

• Afklaring af hvilke NIS2-krav der gælder for jer
• Overblik over jeres nuværende parathed
• Konkrete fund og huller i jeres sikkerhed
• Prioriteret handleplan, så I ved, hvor I skal starte
• Dokumentation til tilsyn og ledelse
• Sparring med en specialist, der kender kravene fra praksis

Få overblik over jeres NIS2-parathed

Ring på 70 13 63 23 eller udfyld formularen.

Så tager vi en snak om, hvor I står, og hvad en audit kan give jer.