Cybersikkerhed - sådan kommer I i gang med NIS2
Skrevet af: Nadia Rudberg, Konsulent
Mange virksomheder arbejder i dag på højtryk for at leve op til det nye NIS2 direktiv, der træder i kraft den 1/1-2025. Hvad præcist direktivet indeholder, er ikke offentliggjort endnu, men det bør ikke forhindre virksomhederne i at komme i gang.
For cybersikkerhed er noget vi alle sammen skal forholde os til. Danmark er nemlig et af de mest digitaliserede lande i Europa, og det gør os desværre mere sårbare overfor trusler som hackerangreb og sabotage.
Michael Sylvestersen, som er sikkerhedsansvarlig hos TDC Alarmnet, fortæller: Det sidste år har vi arbejdet på 35 politiker for virksomheden, som skal være med til styrke os i at kunne leve op til NIS2. Vi har længe øvet os I at tænke ’hvad nu hvis’ og trænet forskellige scenarier igennem på forhånd. Så vi er klar, hvis Danmark bliver lagt ned.
Der er mange grunde til at tage det nye direktiv alvorligt. For det første, så har man som virksomhed bevisbyrden og skal kunne bevise, at man lever op til kravene overfor myndigheder – ellers risikerer man store bøder. For det andet, så er der krig i Europa, og vi er alle derfor forpligtet til at sikre os, at vi ikke bliver et våben i andre nationers hånd. Her er der en række forskellige tiltag man kan gøre.
Nedfæld politikker for virksomhedens IT-systemer
Virksomhedspolitikker beviser overfor myndighederne, at I som virksomhed efterlever NIS2. Men politikkerne er selvfølgelig også med til at fastlægge alt omkring virksomhedens IT, både overfor medarbejdere, kunder og underleverandører.
”I Alarmnet har vi 35 forskellige politikker, som guider vores medarbejdere i, hvordan de skal gebærde sig på internettet, hvad de må bruge deres PC til, og hvad de ikke må bruge den til. Vi har også politikker som vedrører vores underleverandører, og sætter krav til de komponenter og udstyr som vi køber af dem, så vi sikrer os, at vi ikke indkøber noget der leverer trafik eller information til en anden nation” siger Michael Sylvestersen.
Træn ’hvad nu hvis-scenarier’
I Alarmnet udfører det interne TECH-team hvert år en Risiko- og Sårbarhedsanalyse, som tester virksomheden i syv forskellige scenarier, og også i hvordan scenarierne skal håndteres. Denne øvelse screener for eventuelle sårbarheder, der skal optimeres. Scenarierne handler udelukkende om udefrakommende trusler, og øver TECH-teamet i at tænke i ’hvad nu hvis?’ F.eks. ”Hvad nu hvis internetkablerne bliver bombet?’, ”Hvad nu hvis Danmark står uden strøm i 12 timer?”, ”Hvilken påvirkning vil det have for Alarmnet og for Alarmnets kunder?”
At træne og forberede virksomheden på eventuelle trusler er også en del af at leve op til NIS2 direktivet, og det vil styrke virksomheden i at stå stærkere.
Uddan dine medarbejdere
Én ting er at skrive en masse politikker for virksomheden, en anden ting er at få dem ud at leve i virksomheden. Det er derfor vigtigt, at medarbejderne forstår, at de også er et mål for terror og sabotage. Og én måde at få politikkerne ud at leve, er ved at træne medarbejderne i fx at spotte phisingmails.
Michael Sylvestersen forklarer: ”Vi udsender falske phisingmails til vores medarbejdere for at teste deres viden om phising. Målet er at lære dem, at spotte en phisingmail og lade være med at åbne den eller klikke på det mystiske link, der er medsendt men i stedet klikke på ’PhishAlarm-knappen’ i Outlook og dermed rapportere mailen.”
Når en medarbejder rapporterer en phishing-mail, så bliver mailen slettet fra alle medarbejdernes indbakker automatisk.
At arbejde med at leve op til NIS2 er en opgave, der aldrig stopper. Truslerne forandrer sig hele tiden, og dukker op i nye former og fra nye kanter. I Alarmnet har man erfaret, at det er vigtigt at NIS2 implementeres i hele virksomheden, og at direktionen går foran. Det skal prioriteres oppefra.