IT-sikkerhed og compliance
NIS2: Bliv klar til at opfylde EU’s nye cybersikkerhedskrav
NIS2-direktivet fra EU sætter fornyet fokus på virksomheders cybersikkerhedsniveau i forhold til den IT-trussel, som der eksisterer i dag. Nye, strengere IT-sikkerhedskrav for virksomheder placeret i Europa får stor indflydelse på styringsgrundlaget for virksomhedens aktiver, risikoanalyser, sårbarhedsvurderinger, adgangsstyring (IAM), kryptering, anskaffelser, udvikling og drift. Det nye NIS2-direktiv vil betyde, at sanktionshammeren vil ramme hårdt, hvis de danske virksomheder ikke følger de kommende krav til cybersikkerhed. Helt konkret vil det kunne resultere i sanktioner på op til 10 millioner euro eller to procent af virksomhedens samlede globale omsætning. Når vi er en del af dit team, arbejder ChangeGroup med at håndtere alle hjørner af de nye regler og sikre, at din virksomhed efterlever EU’s nye cybersikkerhedskrav.
Allan von Staffeldt Beck, Seniorrådgiver
Hvad er NIS2? 10% jura. 90% IT og forretning
EU's mål med det nye cybersikkerhedsdirektiv er at opnå et højt fælles niveau af cybersikkerhed på tværs af medlemsstaterne. De sætter baren højt, for det kan blive en kompleks opgave at leve op til kravene i NIS2. Det kræver både tilpasninger i den måde, virksomheden gennemfører forandringer på, samt justeringer af virksomhedens driftsrutiner. Virksomheden skal grundlæggende vende sig til, at trusler, sårbarheder og risici fremadrettet er et styringsobjekt ligesom kunder, medarbejdere og IT-systemer er det. Fundamentet for en systematisk efterlevelse af NIS2 er et effektivt og sammenhængende ledelsessystem (ISMS), der tager udgangspunkt i ISO27001, og som løbende sikrer, at ledelsen har et overblik over, hvilke trusler, sårbarheder og risici, der eksisterer, og hvordan de forvaltes i den daglige drift i organisationen.
Ovenpå dette fundament skal virksomheden tilpasse sine interne politikker og indarbejde brugen af informationssystemer i organisationen. Virksomheden skal vende sig til at udarbejde risikovurderinger, når der skal gennemføres forandringer, og til at arbejde på en ensartet måde med styring og eksekvering af forandringer i virksomheden for hele tiden at have kontrol med risici, trusler og sårbarheder. Vores compliancespor tager din virksomhed sikkert igennem alle hjørner af NIS2-direktivets krav og sikrer, at din forretning efterlever de nye regler. Vores NIS2-compliancespor fokuserer på:
- Forvaltning af aktiver og klassifikation af informationsaktiver
- Risikoanalyser og sårbarhedsvurdering for informationssystemer
- Incident Response: Processer for håndtering af informationssikkerhedskriser
- Udvidet sikkerhedsansvar for underleverandører af både hardware og services – herunder cloudservices, hardware og sikkerhedssoftware
- Forandringsledelse
- Regler for obligatorisk kryptering af kritisk information
- Sikkerhed i forbindelse med anskaffelse, udvikling og vedligeholdelse af netværk og informationssystemer
- Sikkerhedsreview og gentagne opdateringer af sikkerhedssystemer
- Adgangsstyring og separation af opgaver
- Leverandørstyring
- Ledelsesanvar for bestyrelsen og topledelsen
Bliv compliant og kom i mål med NIS2
Ved at fokusere på vores compliancespor i forbindelse med NIS2-direktivet kan din virksomhed opnå disse fordele:
- Compliance med NIS2 og EU's cybersikkerhedskrav
- Struktureret cybersikkerhed i organisationen
- Løbende revision af cybersikkerheden
- Optimerede forretningsgange og processer
- Standardiseret tilgang til ledelse af projekter og udvikling af nye systemer
Hvordan kommer du i gang med NIS2?
Gennem en velafprøvet og struktureret 6-trinsmodel hjælper ChangeGroup din virksomhed sikkert gennem kravene i NIS2-loven. Vi omsætter lovens krav og vejledninger fra myndighederne til konkrete, målbare og effektive indsatser.
Trin 1: Foranalyse
For at blive compliant med NIS2-direktivet er det vigtigt at definere, afgrænse og forberede projektet iht. lovens § 3 og bilag 1–2. En rådgiver fra ChangeGroup vurderer jurisdiktion, sektortilhørsforhold og koncernstruktur og skaber overblik over, hvilke aktiviteter og systemer der er omfattet. Forananalysen giver din virksomhed klarhed over omfanget og forpligtelserne – og skaber et solidt afsæt for analyse- og implementeringsprojektet.
Trin 2: NIS2-analyse
Vi kortlægger din virksomheds aktuelle situation i forhold til cybersikkerhed og kravene i NIS2-direktivet. Gap-analysen gennemføres op mod kravene i § 6 og vurderer eksisterende cybersikkerhedsforanstaltninger, processer og organisatorisk modenhed. Analysen klarlægger prioriterede initiativer og aktiviteter til håndtering af gaps.
Trin 3: Risikoanalyse
Vi identificerer og kortlægger din virksomheds centrale aktiver, trusler, sårbarheder og konsekvenser – og tilpasser analysen til en “all-hazards approach”. Vi fastlægger mål og definerer acceptable niveauer. Risikoanalysen danner et veldokumenteret grundlag for de rette sikkerhedsforanstaltninger. Se bl.a. vores webinar om NIS2-risikoanalyse.
Trin 4: Design af ISMS og NIS2-projektplan
Efter risikoanalysen udarbejder virksomhedens ISMS, samt designer relevante organisatoriske og tekniske tiltag – bl.a. hændelseshåndtering, backup og leverandørstyring. Vi udarbejder en myndighedsrobust plan for implementeringsprojektet, og sammen etablerer vi en roadmap med prioriterede indsatsområder, tekniske såvel som organisatoriske. Se bl.a. vores webinar om NIS2 ISMS.
Trin 5: Implementering
Planen for implementeringsprojektet eksekveres gennem fokus på projektledelse og forandringsledelse, der sikrer, at målsætninger realiseres. Vi arbejder med virksomhedens politikker, procedurer, processer, og IT-landskab. Medarbejdere klædes på gennem træning og awareness, og vi sikrer, at tiltag forankres i organisationens kultur gennem aktiv forandringsledelse. Resultatet er en målbar styrkelse af cybersikkerheden med høj organisatorisk forankring.
Trin 6: Governance
Når din virksomhed er i mål med implementeringsprojektet, hjælper en rådgiver fra ChangeGroup med at etablere governance, som løbende overvåger og vedligeholder anvendelsen og behandlingen af ISMS. Vi tester sikkerhedsforanstaltninger og sikrer beredskab for hændelser og underretningspligt (§§ 12–14). Der ydes støtte til forberedelse af audit og myndighedstilsyn. Governance handler om at sikre, at virksomheden kan efterleve NIS2-direktivets krav på ethvert tidspunkt i fremtiden. Se bl.a. vores webinar om NIS2 sikkerhedsbrud.
Bliv NIS2-compliant sammen med os
Hos ChangeGroup hjælper vi flere kunder med at blive og fastholde compliance med GDPR, ISO27001 og andre cybersikkerhedsstandarder. 50 af vores dygtige konsulenter arbejder udelukkende med cybersikkerhed og informationssikkerhed. Vores rådgivere og subject matter-eksperter kan hjælpe med at kortlægge, hvordan NIS2-direktivets cybersikkerhedskrav, risici og sårbarheder vil påvirke din virksomhed. Det skaber et solidt afsæt for implementeringsprojektet, hvor vores dygtige projektledere, forandringsledere, enterprise- og løsningsarkitekter, sikkerhedsspecialister, netværksspecialister, krypteringsspecialister og proces- og forretningsanalytikere hjælper med at gennemføre de mange implementeringsinitiativer.