Otte indsatsområder til at blive NIS2-compliant

I samarbejde med førende cybersikkerhedseksperter har vi udviklet en implementeringsmodel, der indeholder otte aktiviteter, som skal sikre din virksomheds efterlevelse af EU’s cybersikkerhedsdirektiv, NIS2.

Det kan blive dyrt for din virksomhed, hvis der ikke er styr på virksomhedens informationssikkerhed, når NIS2-direktivet træder i kraft i oktober 2024. Direktivet opererer med markant forhøjede bødeniveauer på op til 4% af omsætningen, personlige bøder og hårde sanktioner til ledelsen, hvis de nye krav ikke tages alvorligt. Det er en kompleks opgave at leve op til kravene i direktivet, og det kræver både tilpasning i implementeringen af forandringer, justering af driftsrutiner samt erfaring med cybersikkerhed. Virksomheden skal grundlæggende vænne sig til, at cybersikkerhed fremadrettet skal indgå som del af ledelsesarbejdet og medarbejdernes dagligdag. 

 

NIS2 = ledelsessystem

Fundamentet for en systematisk efterlevelse af NIS2-direktivet er et effektivt ledelsessystem, der løbende sikrer overblikket over, hvordan informationssikkerhed håndteres, samt hvilke trusler, sårbarheder og risici, der knytter sig til den voksende cyberkriminalitet. 

Ovenpå dette fundament skal virksomheden tilpasse sin informationssikkerhedspolitik og implementere de nødvendige foranstaltninger i organisationen. Hertil skal virksomheden tilvænne at udarbejde løbende risikovurderinger og at arbejde professionelt med beskyttelse af informationsaktiver. 

Compliance er ikke et projekt, som slutter i oktober 2024. Det er afgørende, at projektet leverer et ”system” bestående af politikker, processer og forskellig dokumentation, der kan leve i organisationen – også efter oktober 2024. For de fleste virksomheder kræver det et stærkt fokus på forandringsledelse. Udover forandringsledelse bygger vores model på ’best practice’ fra sikkerhedsstandarderne ISO 27001, NIST, CIS 18-kontroller og den danske D-mærkning. 

 

Kom i mål med de otte trin herunder

1. Ledelses- og bestyrelsesbriefing 

Fundamentet for et effektivt cyberforsvar starter i ledelsen. NIS2 kræver, at ledelse og bestyrelser aktivt tilegner sig viden om informationssikkerhed, og får igangsat aktiviteter i organisationen, så de nye krav kan efterleves. ChangeGroups eksperter kommer gerne ud til bestyrelses- og ledelsesmøder og fortæller om, hvad de nye krav betyder for jer. 

2. GAP-analyse 

Hvor er organisationens cybersikkerhed i forhold til NIS2-direktivets krav? En GAP-analyse er et værktøj, der hjælper organisationen med at forstå, hvilke ændringer der skal foretages for at opfylde de krav, NIS2 stiller. 

3. Workshops 

Når din organisation skal starte NIS2-complianceprojektet op, er det vigtigt, at I får startet rigtigt og med de rigtige medarbejdere. ChangeGroup hjælper processen på vej ved at facilitere de workshops, der får projektet godt fra start og i mål med et godt resultat. 

4. Risikostyring og risikohåndtering 

Din virksomhed skal kunne dokumentere, at man har gennemført en grundig risikoanalyse, og at de risici der er afdækket, bliver håndteret forsvarligt. Det kræver risikovurderinger med fokus på fortrolighed, integritet og tilgængelighed. Vi har stor erfaring med risikostyring i alle størrelser virksomheder. 

5. Information Security Management System (ISMS) 

Fundamentet for efterlevelse af direktivet er et ”klassisk” ledelsessystem til styring af informationssikkerhed, f.eks. baseret på standarden ISO 27001 eller tilsvarende. Dette sikrer en ensartet og struktureret tilgang til organisationens informationssikkerhed – både nu og i fremtiden. Vi rådgiver, designer og implementerer ISMS i alle størrelser virksomheder. 

6. Dokumentation og vedligeholdelse 

Virksomheden skal have et sammenhængende overblik over forretningsprocesser, applikationer, persondata og infrastruktur, der skal vedligeholdes. Det kræver, at dokumentationen baseres på standarder, så dokumentationen drives uafhængig af personer.

7. Uddannelse af medarbejdere 

Et vigtigt element i et godt cyberforsvar er en bevidst og oplyst medarbejderstab. ChangeGroup arrangerer awareness-kurser for ledelse, bestyrelser og medarbejdere, hvilket også er et direkte krav i NIS2. Vi udarbejder vejledninger og forretningsgange, der sikrer, at dette følges. 

8. Forandringsledelse 

Virksomheden skal sikre, at alle medarbejdere er bevidste om betydningen af et godt forsvar mod cyberkriminalitet. Det opnås blandt andet gennem kampagner støttet af videoklips, små spots, foldere, brochurer og meget mere. 

 

Vi er din NIS2-partner! 

Vil du vide mere om cybersikkerhed, NIS2-compliance samt hvilke krav din organisation stilles overfor, når direktivet træder i kraft i oktober 2024? 

ChangeGroups cybersikkerhedsrådgivere og konsulenter er førende indenfor området, og har den nyeste viden om cybertrusler, risikoanalyse og -håndtering samt praktisk implementering af et ’Information Security Management System’. 

Vi kommer gerne ud til et uforpligtende orienteringsmøde, hvor vi sætter fokus på din organisations cybersikkerhed, og de krav NIS2 stiller til jer. Du kan også læse om vores IT-sikkerhedsydelser HER.

 

Du kan også se vores tre gratis webinarer om NIS2 herunder:

NIS2 – Lektion 1: Kom i gang med NIS2 med en risikoanalyse

 

NIS2 – lektion 2: Få struktureret din IT-sikkerhed (ISMS)

 

NIS2 – Lektion 3: Sikkerhedsbrud – hvad gør vi nu?

Det er den store forskel på NIS1 og NIS2, at man i NIS2 vil opkræve seriøse bøder, hvis regulativerne ikke bliver overholdt”

Karsten Vandrup, cybersikkerhedsekspert

Jes Dam
Skal du eller din virksomhed have hjælp til at blive NIS2-compliant? Så kontakt os i dag for en uforpligtende snak!

Jes Dam