NIS2 - Vi er ikke stærkere end det svageste led
I 2024 er cybersikkerhed noget vi alle sammen skal forholde os til. Danmark er nemlig et af de mest digitaliserede lande i Europa, og det gør os desværre mere sårbare overfor trusler som hackerangreb og identitetstyveri. Meget er koblet på internettet i dag, og derfor påvirker denne sårbarhed os alle på den ene eller anden måde. Hver gang du sætter et nyt internetkabel til en enhed f.eks. et overvågningskamera eller en printer, så får du hver gang en ny indgang. Og jo flere indgange du har, desto flere muligheder eller åbninger har du skabt - og desto flere potentielle mål for hackere at angribe.
Hackerne vil søge efter et smuthul, hvor de kan komme ind. De ved nemlig godt, at de ikke skal bruge ’fordøren’. Et eksempel på et smuthul kan fx være en vaskemaskine, der er koblet på internettet. Mange er ikke klar over det, men en hacker kan komme ind i et netværk via en vaskemaskine, printer eller en router, der ikke er opdaterede. Vi er ikke stærkere end det svageste led.
Alle organisationer er mulige mål
I Danmark er trusselsbilledet intensiveret siden krigen i Ukraine startede. Her er pro-russiske aktører aktive med eksempelvis Ddos-angreb henvendt imod regeringer, transportsektorer og bankverdenen, hvor de forsøger at lukke adgangen til hjemmesider i længere tid. Eller forsøger komme ind via sårbarheder i software, der ikke er opdateret fx via phisingmails. De kan også finde en vej via medarbejdere, der bruger for korte eller de samme passwords. Men det er ikke kun nationer, der angriber andre nationer, når det kommer til hacking. Der findes også almindelige cyberkriminelle, ’den sure skoleelev’ og hacktivster, som gerne vil ind i dit netværk. Og her kan motivet være alt fra økonomisk gevinst, til at fremme politiske budskaber, skabe konkurrencefordele eller at aflede opmærksomheden fra andre angreb. Truslen kan altså komme fra mange steder og med forskellige formål.
NIS2 i praksis
I takt med at denne trussel er stigende, har EU vedtaget NIS-direktivet som en fælles sikkerhedsforanstaltning mod cyberkriminalitet. Direktivet styrkes yderligere med det nye NIS2 direktiv, der er gældende fra oktober 2024 (udskudt til 1. januar 2025 i Danmark). Men selvom NIS2 er en kærkommen foranstaltning, der skal beskytte os mod udefrakommende trusler, så er det også en ny lovgivning, som mange stadig mangler at få indblik i. Flere mangler simpelthen viden om, hvordan de kan komme til at leve op til det nye NIS2 direktiv.
Advokatkontoret Bech Bruun er førende indenfor digitalisering og cybersikkerhed, og de kommer her med 10 praktiske råd til, hvordan man kan komme godt i gang med at implementere NIS2.
10 skarpe råd fra Bech-Bruun
1) Bestyrelse og direktion skal kende sit ledelsesansvar og skabe forudsætninger for implementering og drift
2) Fastlæg risikoprofilen og sørg for sammenhæng til strategien
3) Skab overblik over kritiske processer, systemer og ikke mindst leverandører
4) Identificer relevante trusler og dokumentér risikovurderingerne på den baggrund
5) Verificer sikkerhedsniveauet defineret af passende foranstaltninger
6) Sørg for den nødvendige dokumentation, herunder risikovurderinger,
informationssikkerhedspolitikker, beredskabsplaner mv.
7) Genbesøg procedurerne for kontrakt- og leverandørstyring (ikke IT-opgave)
8) Medarbejdere og ledelsen (bestyrelse og direktion) skal have relevant uddannelse
9) Procedurer for hændelseshåndtering og -forebyggelse, herunder hændelseslogning
10) Forankring af roller og opgaver i den løbende drift (governance og årshjul)
Bech Bruun anbefaler, at man som det første går i gang med en risikovurdering for at identificere mulige trusler og risici forbundet med forretningen. Virksomheder er forskellige, og ligeledes er virksomheders risikoprofil også forskellig. Derfor skal man identificere relevante trusler specifikt for ens egen virksomhed og branche. Dernæst bliver det understreget, hvor vigtigt det er, at NIS2-implementeringen ikke ender med at blive en intern-IT-opgave. Med det menes, at implementeringen skal starte i toppen, hvor ledelsen og direktionen går forrest. Her er det vigtigt, at tiltagene bliver tænkt ind som et holistisk virksomhedsprojekt, hvor alle afdelinger oplever, at ledelsen viser vejen.
Der er ingen tvivl om, at de nye direktiver fra EU er med til at beskytte os. Hvis du er interesseret i at få mere viden om, hvordan I som organisation eller virksomhed skal implementere de nye direktiver fra EU, så kan du læse mere her