Lufthavns-CIO er klar til nye it-sikkerhedskrav: It-afdelingen kan ikke klare det alene

Copenhagen Airports
Illustration: Copenhagen Airports.
NIS2-direktivets krav kommer ikke bag på Copenhagens Airports, hvor CIO Kenneth Lindegaard føler sig godt klædt på. Ikke mindst på grund af den nødvendige opbakning fra topledelsen.
3. juni kl. 10:00
errorÆldre end 30 dage

»NIS er et godt sanity-tjek til de procedurer, politikker og discipliner, som de fleste virksomheder jo allerede har. Hos os krævede NIS bare, at vi fik dem helt skarpt beskrevet og opdateret. Men virksomheder, der ikke allerede opererer i en reguleret branche, kommer til at få en større pukkel,« mener Kenneth Lindegaard, der er CIO hos Copenhagen Airports.

Virksomheden implementerede det oprindelige NIS-direktiv i 2018 og ser nu ind at skulle implementere udvidelserne til direktivet, der går under navnet NIS2. Det skræmmer ham dog ikke, fordi Copenhagen Airports har haft en fordel på grund af den branche, virksomheden arbejder i.

»I luftfarten er vi jo allerede meget reguleret fra diverse styrelser og myndigheder, både europæisk og nationalt, så vi har været vant til at have en ret solid base på sikkerhedsområdet. På den vis har NIS været nemt for os det har bare været en anden variant af noget, vi kendte i forvejen, kan man sige. Men vi har selvfølgelig lagt en masse arbejde i at gennemgå det hele,« fortæller CIO’en, der er varm fortaler for, at man bruger ressourcer på et træningsforløb til alle relevante medarbejdere i organisationen.

»Vi har lavet en masse træning af medarbejderne i it-afdelingen, men også af vores kollegaer rundt omkring i hele lufthavnen, som interagerer med de her processer, eller skal efterleve nogle af de politikker, som vi skulle skærpe, for eksempel i forbindelse med anskaffelse af it-udstyr,« fortæller Kenneth Lindegaard og fortsætter:

Artiklen fortsætter efter annoncen

»Vi har også trænet partnere, som leverer ind i vores øko-system. Specielt, hvis man har nogle outsourcing-aftaler, er man nødt til at genbesøge, hvordan det hænger sammen med det nye direktiv,« mener CIO’en.

Vigtigt at have topledelsen med

Et andet vigtigt punkt, når man står overfor at skulle forholde sig til NIS for første gang, er, at man har opbakning fra virksomhedens øverste lag. For opgaven med at leve op til de omfattende nye it-sikkerhedskrav kan ikke løftes af it-afdelingen alene og kræver de rette ressourcer, mener Kenneth Lindegaard. 

»Jeg har drøftet NIS2 med vores topledelse, og jeg føler, de absolut er helt med på betydningen for os. Det vidner deres support til den operating-model, vi har implementeret, i hvert fald om. Der vil være nogle virksomheder, som har et større arbejde foran sig, hvis ikke topledelsen har den forståelse,« siger CIO’en.

»Vi havde allerede lavet en operating-model, som lægger op til den måde at arbejde på, grundet de antal andre lovgivninger og compliance-krav, vi er underlagt i vores industri, og i den model er de ekstra ressourcer til NIS2 lagt ind. Så vi mener, vi er klar til at implementere NIS2-kravene.«

»Men jeg tror, det bliver en stor udfordring for de virksomheder, som ikke var del af første omgang, at de nu skal i gang med det fulde omfang fra starten af. De får ikke mulighed for at tage det i etaper som os,« lufthavns-CIO’en, der kun er positivt stemt over for, at it-sikkerheden nu får endnu mere luft under vingerne.

»Det giver god mening, at man har styr på sine it-risici, og det tror jeg, langt de fleste virksomheder allerede arbejder med i et eller andet omfang. Nu bliver de virksomheder, som er kritiske for landets infrastruktur, også underlagt direktivet, og jeg kan godt forstå, at EU og Danmark ønsker, vi skal følge lovgivningen på området, så vores samfund ikke går i stå i tilfælde af nedbrud, der kunne have været forebygget,« mener Kenneth Lindegaard.

 

Bliv klædt på til NIS2

NIS2 er udvidelsen af NIS-direktivet, der ensretter og skærper lovkravene til cyber- og informationssikkerhed på tværs af EU’s medlemslande.

De konkrete krav

De to centrale områder i det udvidede NIS-direktiv er risikostyring og rapportering til myndigheder. Det kommer f.eks. til at betyde, at man skal indberette, når man har været udsat for en sikkerhedshændelse senest 24 timer efter, man er blevet opmærksom på det. Desuden skal man følge op med en fyldestgørende rapport for, hvordan hændelsen er sket, og hvad der er gjort for at forhindre fremtidige hændelser af samme karakter.

Derudover bliver kravene til risikoanalyser skærpet, ligesom der bliver stillet større krav til sikkerheden i forbindelse med anskaffelse af netværk og it-systemer, datalagring og processorservices.

De bliver omfattet af NIS2

Mellemstore og store virksomheder inden for it-, energi-, transport-, sundheds-, finans- og fødevaresektoren.

Mindre virksomheder med under 50 ansatte eller med en årlig omsætning på under 10 mio. euro bliver ikke omfattet.

Det koster det

EU-Kommissionen forventer en stigning på 22 procent i udgifter til it-sikkerhedsudstyr for de nye sektorer i NIS2. De reelle udgifter for den enkelte virksomhed afhænger dog selvfølgelig af, hvor langt man i forvejen er med it-sikkerheden og det deraf følgende udstyr.

Overtrædelse af direktivets krav kan koste bøder svarende til op mod 2 procent af en virksomheds globale omsætning eller 10 mio. euro.

Sådan kommer I i gang

Det er en god idé at få lavet en modenhedsanalyse af jeres cybersikkerhedsniveau for at forstå, hvordan NIS2 kommer til at påvirke jeres virksomhed. Der findes flere konsulenthuse, der kan hjælpe med den slags, ligesom der er hjælp at hente i forbindelse med implementeringen.

Ingen kommentarer endnu.  Start debatten
Debatten
Log ind for at deltage i debatten.
settingsDebatindstillinger