Nye cyber-sikkerhedskrav på vej til de store og mellemstore virksomheder

Den nye lov forventes at blive en realitet i starten af 2024, hvor det såkaldte NIS2-direktiv bliver implementeret i dansk lov. Ligesom sin forgænger, NIS1, regulerer direktivet virksomheder og myndigheder på cyber- og informationssikkerhedsområdet. Den nye lov rammer en række sektorer, der ikke tidligere har været omfattet, herunder sektorerne inden for fødevarer, spildevand, affald, rumteknologi og udvalgte sektorer i fremstillingsindustrien.

“Vi anbefaler, at organisationerne kommer i gang med forberedelserne så tidligt som muligt. Organisationerne skal være opmærksomme på, at de selv har en forpligtigelse til at finde ud af, hvorvidt de er omfattet af NIS2. Der vil med andre ord ikke være nogen myndighed, der udpeger og varsler organisationerne,” understreger Mads Nørgaard Madsen, partner og leder af Consulting - Technology & Security i PwC.

Øget krav til risikostyring, kontrol og tilsyn
Den nye lov udvider kravene og sanktioneringen af cybersikkerhed for at harmonisere og strømline sikkerhedsniveauet på tværs af medlemslandene, og med skærpede krav for flere sektorer, betyder det, at danske virksomheder skal forholde sig til blandt andet øgede krav til risikostyring, kontrol og tilsyn.

“Fra starten af 2024 er virksomhederne og myndigheder forpligtet til at leve op til kravene, og derfor er det en fordel at komme i gang nu fremfor at vente, da det tidligere har vist sig, at det har været en omfattende opgave for de organisationer, der var omfattet af NIS1. Hvis virksomhederne og myndighederne har en ledelsesforankret risikoproces i forvejen, er det en klar fordel. Hvis ikke, venter en omfattende proces forude,” udtaler Mads Nørgaard Madsen. Han tilføjer, at det kan være en fordel at indføre NIS2 som en del af et nyt cyberprogram, så det bliver prioriteret og forankret det rette sted i organisationen.

Udgiftningstigning på vej
Kommissionen anslår desuden, at for de organisationer, der vil være omfattet af NIS2-direktivet, vil deres nuværende udgifter til sikkerhed øges med 22 % i de første år efter indførelsen af direktivet. Dette vil være 12 % for virksomheder og myndigheder, der allerede er omfattet af det nuværende NIS-direktiv.

“Vi ved, at det kan koste virksomhederne og myndighederne dyrt at blive klar til den nye lov. De nye regler kommer til at stille skærpede krav til risikostyring og myndighedstilsyn, og at man indberetter, når man har været udsat for en sikkerhedshændelse. Gør man ikke det, kan man potentielt se frem til bøder på samme måde som med GDPR,” understreger Mads Nørgaard Madsen.

Anbefalinger fra PwC 

• Få foretaget en modenhedsvurdering og skab opbakning fra ledelsen

Første skridt er at få foretaget en vurdering af, hvad det vil kræve for organisationen at efterleve NIS2-kravene. Dette kaldes også en modenhedsvurdering og kan udføres af eksterne konsulenter.

Vurderingen viser, hvilke konkrete områder organisationen enten skal starte med eller arbejde videre med for at implementere kravene effektivt. Vurderingen bruges også til at få indblik i, hvilke investeringer og kompetencebehov, virksomheden har brug for at lykkes med implementeringen.

Vurderingen vil ligeledes kunne bruges til få ledelsens opbakning til arbejdet med NIS2-direktivet. Netop ledelsesopbakning er et centralt emne i direktivet, fordi ledelsen i omfattede organisationer stilles direkte til ansvar for, at kravene bliver overholdt.

• Scope rigtigt – det er kun de driftskritiske aktiver

NIS2-direktivet søger at beskytte kritisk infrastruktur, forsyningskæder til kritisk infrastruktur og andre samfundsvigtige funktioner. Dette er en afgørende faktor i organisationers arbejde med direktivet, da det i praksis sætter rammen for, at alene driftskritiske processer, mennesker, teknologier og leverandører,  er omfattet af direktivet.

De omfattede virksomheder og myndigheder har derfor en vigtig opgave i at scope de driftskritiske aktiver.

• Brug en international standard som styringsramme

NIS2-direktivet stiller krav til, at de omfattede organisationer implementerer et ledelsessystem for informationssikkerhed (ISMS). Internationale standarder som ISO 27001 eller NIST, IEC kan bruges som effektive styringsrammer til at få etableret et operationelt ISMS.ISO 27001 udgør samtidig et “best practice”-rammeværktøj for en holistisk og ledelsesforankret styring af cyber- og informationssikkerhed.

• Risikovurdér aktiver og implementér formildende foranstaltninger

NIS2-direktivet stiller krav til en risikobaseret tilgang til informationssikkerhed. I praksis betyder det, at organisationen skal beskrive en risikoproces, som der skal efterleves. Det gøres ved at risikovurdere samtlige af de aktiver, som organisationen har identificeret som værende kritiske for dens samfundskritiske funktion, herunder forsyningskæder og leverandører.

Som en del af jeres risikohåndtering skal I implementere skadesforebyggende foranstaltninger, der formindsker jeres risici. 

• Rapportér til CSIRT (Center for Cybersikkerhed)

NIS2 stiller krav til, at organisationer skal rapportere hændelser til CSIRT inden for 24 timer. Derudover skal organisationen løbende opdatere CSIRT’en med status på hændelsen og eventuelle kompromitteringer.

Hvis hændelsen vurderes at have en effekt på flere medlemsstater, vil den blive rapporteret videre igennem det europæiske cyberagentur, ENISA. Formålet med kravet til rapportering er bl.a. at øge kapabiliteten på tværs af det europæiske cyberlandskab.

• Start forfra

Et af hovedpointerne i direktivet er, at organisationer skal implementere en risikoproces og arbejde risikobaseret. Idet cyberlandskabet ikke er en konstant størrelse, vil risikolandskab være i forandring.

For de omfattede virksomheder og myndigheder betyder det, at modensheds- og risikoprocessen skal gentages med jævne mellemrum, så risici bliver identificeret og mitigeret.