NIS2 og grundlæggende cybersikkerhed for ledere og bestyrelsesmedlemmer
NIS2-direktivet fra EU kommer med særligt ét fokus: virksomheders ledelsesorganer og deres forpligtigelser i forbindelse med styringen af cybersikkerheden i virksomheden. Det betyder blandt andet, at ledelsen og bestyrelsen er forpligtiget til at have styr på cybersikkerhedsrisikoerne i virksomheden – både internt og via leverandører til virksomheden. Samtidigt er ledelsen og bestyrelsen forpligtiget til at understøtte et løbende vidensniveau blandt medarbejderne omkring cybersikkerhed. Hos ChangeGroup oplever vi et stort behov for rådgivning og hjælp til NIS2 – især i blandt ledelser og bestyrelser i danske virksomheder og offentlige organisationer. Vi har derfor designet et NIS2-ledelsesforløb, som giver ledere og bestyrelsesmedlemmer en solid forståelse af NIS2-kravene og grundlæggende koncepter inden for cybersikkerhed.
Allan von Staffeldt Beck, Seniorrådgiver og faglig lead
Hvilke krav stiller NIS2 i til ledelsen og bestyrelsen?
NIS2 kommer allerede 1. juli 2025 til at stille krav til ledelsen og bestyrelsen i danske virksomheder og offentlige organisationer. Udover de nye, skærpede IT-sikkerhedskrav for virksomheder placeret i Europa, vil det nye NIS2-direktiv også betyde, at sanktionshammeren kan ramme hårdt, hvis de danske virksomheder ikke følger de kommende krav til cybersikkerhed. Helt konkret vil det kunne resultere i sanktioner på op til 10 millioner euro eller to procent af virksomhedens samlede globale omsætning. Ifølge NIS2, artikel 20, stk 2 er ledelseslaget forpligtiget til at være dybt engageret i styringen af cybersikkerhedskrav:
"Medlemsstaterne sikrer, at medlemmerne af væsentlige og vigtige enheders ledelsesorganer er forpligtet til at følge kurser, og skal tilskynde væsentlige og vigtige enheder til løbende at tilbyde tilsvarende kurser til deres ansatte således, at de opnår tilstrækkelige kundskaber og færdigheder til at kunne identificere risici og vurdere metoderne til styring af cybersikkerhedsrisici og deres indvirkning på de tjenester, der leveres af enheden" Det betyder blandt andet, at ledelsen og bestyrelsen i NIS2-omfattede virksomheder og myndigheder skal:
- Gennemgå og certificeres i et grundlæggende cybersikkerhedskursus
- Være i stand til at kunne prioritere cybersikkerhed i virksomhedens operationer
- At kunne uddanne medarbejdere i sikker håndtering med data og information
- At evaluere effektiviteten af de cybersikkerhedstiltag der igangsættes
- At godkende risikoanalyse og risikohåndteringsplan
Hvad er fordelene og effekterne ved, at leverandørvirksomhederne har en solid forståelse for NIS2?
Når dit ledelseslag har en solid forståelse NIS2-direktivets krav, kan din virksomhed opnå følgende fordele:
- At have en struktureret og oplyst tilgang til cybersikkerhed
- At have forståelse for hvilke risici, der er størst for virksomhedens drift
- At kunne indføre foranstaltninger, der kan sikre virksomhedens information bedst og mest effektivt
- At kunne iværksætte den nødvendige træning af medarbejdere
- At undgå de hårde sanktioner for ikke at leve op til NIS2-direktivets krav
Hvordan kommer din ledelse i gang med NIS2?
Gennem vores 6 trins NIS2-ledelsesforløb rådgiver vi din ledelse og bestyrelse inden for NIS2, og tager jer sikkert omkring alle hjørner af NIS2 så, at ledelsesorganet kan efterleve de nye NIS2 krav og regler til ledelser.
Trin 1: Introduktion til NIS2:
En oversigt over NIS2-direktivet, dets formål og kravene til digitale tjenesteydere, operatører af kritiske tjenester og kritisk infrastruktur. Vi vil diskutere betydningen af NIS2 i forhold til at sikre cybersikkerhed på tværs af forskellige sektorer.
Trin 2: Trusler mod informationssystemer:
En gennemgang af de mest almindelige trusler, som virksomheder står over for i dag, herunder malware, phishing, ransomware og social engineering. Vi vil analysere, hvordan disse trusler kan udnyttes til at få uautoriseret adgang til systemer og data.
Trin 3: Identifikation af sårbarheder:
En forklaring af, hvordan sårbarheder i IT-infrastrukturen kan udgøre en risiko for virksomheden. Vi vil se på forskellige typer af sårbarheder, herunder svage adgangskoder, manglende sikkerhedsopdateringer og dårlig konfiguration af systemer.
Trin 4: Risikoanalyse og risikohåndtering:
En introduktion til processen med risikoanalyse og vurdering af, hvordan det kan anvendes til at identificere og evaluere risici i forbindelse med cybersikkerhed. Vi vil også diskutere metoder til at håndtere og minimere disse risici gennem passende sikkerhedsforanstaltninger.
Trin 5: Leverandørkrav og ansvar
Hvilke krav kan stilles til leverandører af kritiske ydelser, og hvad man som leverendør til en NIS2-virksomhed kan gøre, for at opfylde kundes krav.
Trin 6: Ledelsens rolle i it-sikkerhed
En diskussion om vigtigheden af, at ledelsen er engageret og proaktiv i forhold til IT-sikkerhed. Vi vil se på, hvordan ledelsen kan etablere en kultur, der prioriterer cybersikkerhed, og hvordan de kan tage ansvar for at sikre, at organisationen har passende ressourcer og politikker på plads.
Vi rådgiver din ledelse med vores NIS2-forløb
Hos ChangeGroup hjælper vi flere kunder med, at blive og fastholde compliance med GDPR, ISO27001 og cybersikkerhedsstandarder. 50 af vores dygtige konsulenter arbejder udelukkende med cybersikkerhed og informationssikkerhed. Vores rådgivere og subject matter eksperter kan hjælpe din virksomheds ledelsesorganer med opnå en solid forståelse for NIS2-kravene og de grundlæggende koncepter inden for cybersikkerhed. Rådgivningsforløbet fokuserer på at øge bevidstheden om trusler, sårbarheder og risici i forbindelse med informationsteknologi samt at understrege vigtigheden af ledelsens fokus på IT-sikkerhed.