Cybersikkerhed - sådan kommer I i gang med NIS2

Fristen for at overholde EU's nye cybersikkerhedsdirektiv, NIS2, er overskredet. Men selvom kalenderen siger, at alle omfattede virksomheder skulle være i mål, ved vi hos TDC Alarmnet godt, at virkeligheden kan være en anden. Mange kæmper stadig med at få overblik over kravene og omsætte dem til praksis. Men bare rolig, det er ikke for sent at komme i gang. Tværtimod er det vigtigere end nogensinde før.

 

Hvorfor er NIS2 så vigtigt – også for jer?

For cybersikkerhed er noget vi alle sammen skal forholde os til. Danmark er nemlig et af de mest digitaliserede lande i Europa, og det gør os desværre mere sårbare overfor trusler som hackerangreb og sabotage. Læs mere om NIS2 direktivet her.  

Jannich Jensen, som er sikkerhedsansvarlig hos TDC Alarmnet, fortæller: Det sidste år har vi arbejdet på 35 politiker for virksomheden, som skal være med til styrke os i at kunne leve op til NIS2. Vi har længe øvet os I at tænke ’hvad nu hvis’ og trænet forskellige scenarier igennem på forhånd. Så vi er klar, hvis Danmark bliver lagt ned.

Der er mange grunde til at tage det nye direktiv alvorligt. For det første, så har man som virksomhed bevisbyrden og skal kunne bevise, at man lever op til kravene overfor myndigheder – ellers risikerer man store bøder. For det andet, så er der krig i Europa, og vi er alle derfor forpligtet til at sikre os, at vi ikke bliver et våben i andre nationers hånd. Her er der en række forskellige tiltag man kan gøre.

 

Hvilke virksomheder er omfattet NIS2?

Helt grundlæggende gælder NIS2 for virksomheder, der leverer tjenester, som er vigtige for vores samfund. Det betyder, at hvis I arbejder inden for sektorer som energi, transport, sundhed, digital infrastruktur, finans, fødevareproduktion eller affaldshåndtering, er der stor sandsynlighed for, at I er omfattet.

Som en tommelfingerregel er jeres virksomhed omfattet, hvis I har over 50 ansatte eller en omsætning på mere end 10 mio. euro. Men det er vigtigt at vide, at selv mindre virksomheder kan være omfattet. Det gælder, hvis I for eksempel spiller en kritisk rolle i en større virksomheds forsyningskæde eller på anden måde leverer samfundsvigtige tjenester. Er din virksomhed omfattet, så læs med her hvor vi giver vores bedste råd til at komme i gang eller sikrer at I overholder de gældende krav i virksomheden.

 

4 konkrete trin til at komme i gang med NIS2

At opnå NIS2 compliance kan virke som en uoverskuelig opgave som tager både tid, ressourcer og kan virke til at være en stor omkostning for virksomheden. Hos TDC Alarmnet anbefaler vi, at I starter med disse tre konkrete trin. De giver jer et solidt fundament og et klart overblik over, hvor I skal sætte ind.

1. Kortlæg virksomhedens kritiske systemer og processer

Hele formålet med NIS2 er at gøre jeres virksomhed robust, så I kan modstå et angreb, eller et nedbrud og hurtigt komme på fode igen. Men for at kunne beskytte det, der er allervigtigst, skal I først have et knivskarpt overblik over, hvad det er.

Forestil jer, at I tager et kig dybt ned i maskinrummet på jeres virksomhed. Hvilke systemer, processer og data er absolut kritiske for, at I kan levere jeres ydelser og holde forretningen kørende? Det er ikke kun de store, komplekse IT-systemer. Det kan lige så vel være adgangskontrollen til jeres bygninger eller det anlæg, der styrer produktionen. Og husk nu alarmtransmissionen! For hvad nytter et avanceret alarmsystem, hvis forbindelsen til kontrolcentralen bliver afbrudt?

Jeres kortlægning stopper ikke ved jeres egen hoveddør. NIS2 introducerer et skærpet kædeansvar, og det betyder, at I også skal have fuldstændig styr på jeres vigtigste leverandører. Hvem er I dybt afhængige af for at holde driften i gang? Det kan være jeres internetudbyder, jeres softwarepartnere og i høj grad også jeres leverandør af alarmtransmission. Ved at kortlægge dem kan I stille de rigtige krav og sikre, at jeres partnere tager sikkerhed lige så alvorligt som jer.

2. Nedfæld politikker for virksomhedens IT-systemer

Virksomhedspolitikker beviser overfor myndighederne, at I som virksomhed efterlever NIS2. Men politikkerne er selvfølgelig også med til at fastlægge alt omkring virksomhedens IT, både overfor medarbejdere, kunder og underleverandører.

”I Alarmnet har vi 35 forskellige politikker, som guider vores medarbejdere i, hvordan de skal gebærde sig på internettet, hvad de må bruge deres PC til, og hvad de ikke må bruge den til. Vi har også politikker som vedrører vores underleverandører, og sætter krav til de komponenter og udstyr som vi køber af dem, så vi sikrer os, at vi ikke indkøber noget der leverer trafik eller information til en anden nation” siger Jannich Jensen.

3. Træn ’hvad nu hvis-scenarier’

I Alarmnet udfører det interne TECH-team hvert år en Risiko- og Sårbarhedsanalyse, som tester virksomheden i syv forskellige scenarier, og også i hvordan scenarierne skal håndteres. Denne øvelse screener for eventuelle sårbarheder, der skal optimeres. Scenarierne handler udelukkende om udefrakommende trusler, og øver TECH-teamet i at tænke i ’hvad nu hvis?’ F.eks. ”Hvad nu hvis internetkablerne bliver bombet?’, ”Hvad nu hvis Danmark står uden strøm i 12 timer?”, ”Hvilken påvirkning vil det have for Alarmnet og for Alarmnets kunder?”

At træne og forberede virksomheden på eventuelle trusler er også en del af at leve op til NIS2 direktivet, og det vil styrke virksomheden i at stå stærkere.

4. Uddan dine medarbejdere

Én ting er at skrive en masse politikker for virksomheden, en anden ting er at få dem ud at leve i virksomheden. Det er derfor vigtigt, at medarbejderne forstår, at de også er et mål for terror og sabotage. Og én måde at få politikkerne ud at leve, er ved at træne medarbejderne i fx at spotte phisingmails.

Jannich Jensen forklarer: Vi udsender falske phisingmails til vores medarbejdere for at teste deres viden om phising. Målet er at lære dem, at spotte en phisingmail og lade være med at åbne den eller klikke på det mystiske link, der er medsendt men i stedet klikke på ’PhishAlarm-knappen’ i Outlook og dermed rapportere mailen.”

Når en medarbejder rapporterer en phishing-mail, så bliver mailen slettet fra alle medarbejdernes indbakker automatisk.

At arbejde med at leve op til NIS2 er en opgave, der aldrig stopper. Truslerne forandrer sig hele tiden, og dukker op i nye former og fra nye kanter. I Alarmnet har man erfaret, at det er vigtigt at NIS2 implementeres i hele virksomheden, og at direktionen går foran. Det skal prioriteres oppefra.

 

NIS2 i praksis

I takt med at denne trussel er stigende, har EU vedtaget NIS-direktivet som en fælles sikkerhedsforanstaltning mod cyberkriminalitet. Direktivet styrkes yderligere med det nye NIS2 direktiv, der var gældende fra oktober 2024 (udskudt til 1. januar 2025 i Danmark). Men selvom NIS2 er en kærkommen foranstaltning, der skal beskytte os mod udefrakommende trusler, så er det også en ny lovgivning, som mange stadig mangler at få indblik i. Flere mangler simpelthen viden om, hvordan de kan komme til at leve op til det nye NIS2 direktiv.

Advokatkontoret Bech Bruun er førende indenfor digitalisering og cybersikkerhed, og de kommer her med 10 praktiske råd til, hvordan man kan komme godt i gang med at implementere NIS2.

10 skarpe råd fra Bech-Bruun
  1. Bestyrelse og direktion skal kende sit ledelsesansvar og skabe forudsætninger for implementering og drift
  2. Fastlæg risikoprofilen og sørg for sammenhæng til strategien
  3. Skab overblik over kritiske processer, systemer og ikke mindst leverandører
  4. Identificer relevante trusler og dokumentér risikovurderingerne på den baggrund
  5. Verificer sikkerhedsniveauet defineret af passende foranstaltninger
  6. Sørg for den nødvendige dokumentation, herunder risikovurderinger,
    informationssikkerhedspolitikker, beredskabsplaner mv.
  7. Genbesøg procedurerne for kontrakt- og leverandørstyring (ikke IT-opgave)
  8. Medarbejdere og ledelsen (bestyrelse og direktion) skal have relevant uddannelse
  9. Procedurer for hændelseshåndtering og -forebyggelse, herunder hændelseslogning
  10. Forankring af roller og opgaver i den løbende drift (governance og årshjul)

Bech Bruun anbefaler, at man som det første går i gang med en risikovurdering for at identificere mulige trusler og risici forbundet med forretningen. Virksomheder er forskellige, og ligeledes er virksomheders risikoprofil også forskellig. Derfor skal man identificere relevante trusler specifikt for ens egen virksomhed og branche. Dernæst bliver det understreget, hvor vigtigt det er, at NIS2-implementeringen ikke ender med at blive en intern-IT-opgave. Med det menes, at implementeringen skal starte i toppen, hvor ledelsen og direktionen går forrest. Her er det vigtigt, at tiltagene bliver tænkt ind som et holistisk virksomhedsprojekt, hvor alle afdelinger oplever, at ledelsen viser vejen.

Der er ingen tvivl om, at de nye direktiver fra EU er med til at beskytte os. Hvis du er interesseret i at få mere viden om, hvordan I som organisation eller virksomhed skal implementere de nye direktiver fra EU, så kan du læse mere her.

 

Hvad med vores alarmløsninger, er de sikret?

Mange større virksomheder, offentlige organisationer og bygninger har et ABA anlæg koblet til i tilfælde af brand, men er dit ABA anlæg sikkert? Er det digitalt, så kan det hackes og hvad hvis det så ikke reagerer i tilfælde af brand? Hvis jeres alarmtransmission kører over det åbne internet, kan den i princippet være sårbar over for de samme trusler som jeres øvrige IT-systemer.

Det er her, vi hos TDC Alarmnet gør en afgørende forskel. Vores alarmtransmission kører på et lukket og privat netværk, som er fuldstændig adskilt fra det åbne internet. Det er jeres garanti for, at signalet fra jeres alarmanlæg altid kommer sikkert og hurtigt frem til kontrolcentralen, uden risiko for digitale bump på vejen. På den måde hjælper vi jer med at leve op til NIS2-kravene om at sikre jeres kritiske systemer og jeres forsyningskæde.