8 hovedindsatser som konsekvens af NIS2-direktivet
Sørg for at blive NIS2-compliant
ISO 27001 og NIS2. Foto: DNV
Direktivet har flere væsentlige indsatsområder, der skal arbejdes med for at sikre den rette beskyttelse. Her kommer de indsatsområder, I bør få styr på.
1. Rapporteringspligt
Hvis I er en virksomhed, der betragtes som væsentlig eller vigtig, skal I rapportere alvorlige sikkerhedsbrud og hændelser til de nationale myndigheder (CSIRT for jeres sektor - Computer Security Incident Response Team) uden unødigt ophold og senest 24 timer efter I har fået kendskab til den.
2. Risikovurdering og sikkerhedsforanstaltninger
Risikovurderinger skal gennemføres regelmæssigt (og ved ændringer), og topledelsen er personligt ansvarlige for at træffe passende sikkerhedsforanstaltninger for at beskytte jeres netværk og informationssystemer.
3. Sikkerhedsforanstaltninger for essentielle tjenester
I skal også implementere passende tekniske og organisatoriske foranstaltninger for at sikre en høj grad af it-sikkerhed og beskytte mod cyberangreb. Og selv om det ikke er et krav i lovgivningen, at man arbejder med ISO 27001, er det tydeligt, at lovgiverne har kigget dybt i ISO 27001 og direkte anbefaler, at man anvender allerede ”anerkendte” rammeværk for at sikre dette – man skal altså være næsten tonedøv for ikke at kigge i retning af ISO 27001, når man skal i gang med at etablere de rette tekniske og organisatoriske foranstaltninger – ikke mindst når de andre krav i NIS2 tages med i betragtning.
4. Ledelsesengagement
Virksomhedsledelsen skal vise engagement og støtte i forhold til cybersikkerhed og etablere klare politikker og procedurer for cybersikkerhed. I øvrigt et andet essentielt krav også i ISO 27001.
5. Incident Response Plan (hændelseshåndtering)
I skal udvikle og implementere effektive hændelseshåndteringsplaner
for at kunne reagere hurtigt og effektivt på sikkerhedsbrud og hændelser.
6. Overvågning og logning
Som operatør skal I løbende overvåge jeres netværk og informationssystemer og opretholde detaljerede logs over aktiviteter for at muliggøre efterforskning af sikkerhedsbrud.
7. Myndighedssamarbejde
I skal samarbejde tæt med de nationale myndigheder og CSIRT for at dele information om trusler og hændelser samt for at koordinere responsen på cyberangreb.
8. Kvalifikationer og uddannelse
I skal desuden sørge for, at jeres personale har de nødvendige kvalifikationer og uddannelse inden for cybersikkerhed for at kunne håndtere trusler og hændelser.
Bliv klar til NIS2-Direktivet med DNV
Hvis I er omfattet af NIS2-direktivet, anbefaler vi, at I allerede nu påbegynder arbejdet med at implementere de nye lovkrav. I DNV har vi særlig ekspertise inden for cyber- og informationssikkerhed, og vi er blandt de meget få danske virksomheder, der er akkrediteret til at certificere efter ISO 27001.
Få hjælp og viden om certificering
Ledelsesstandarden ISO 27001 kan være uoverskuelig at arbejde med, hvis man aldrig har prøvet det. Samtidig er det vigtigt, at man arbejder med det, der giver værdi for virksomheden. I fremtiden er informationssikkerheden ikke en barriere for forretningen, men en katalysator for forretningen.
DNV kan hjælpe jer, så I kommer godt i gang og får et ledelsessystem, der passer til jeres organisation og understøtter jeres forretning.
GAP-analyse
For at komme godt i gang er det en god idé at få lavet en GAP-analyse, der giver overblik over, hvor langt I er i forhold til at leve op til de nye krav. I GAP-analysen gennemgår vi jeres virksomhed og identificerer, hvorvidt I vil blive omfattet af direktivet samt eventuelle gaps i forhold til kravene i direktivet. Få en pris på GAP-analysen.
DNV self assessment
Som kunde i DNV får du adgang til vores digitale self assessment værktøj, hvor du kan måle din egen forståelse for en given standard, fx ISO 27001 og dit ledelsessystems faktiske modenhed.
På baggrund af den gennemførte self assessment får du en udførlig rapport, der afdækker, hvad der fungerer godt i dit ledelsessystem og hvor der er mangler, der bør udbedres.
Lav en self assessment, hvis din virksomhed er i gang med at implementere et ledelsessystem for informationssikkerhed, eller brug den som et effektivt værktøj til løbende forbedring af dit eksisterende ledelsessystem. Adgang til self assessment værktøjet er gratis.
Få et tilbud på certificering, eller kontakt os med dit spørgsmål.
