Faren for et GDPR-lignende kaos, når NIS2 rammer Danmark i efteråret 2024 er overhængende. Men det kaos kan man undgå ved at tilrettelægge sit arbejde med informationssikkerhed efter ISO 27001 standarden, der samtidig også sikrer compliance med NIS2, siger Lead Auditor i DNV Diana Görlitz.
Hun mener, at alt for mange danske virksomheder ønsker at blive NIS-compliant af de forkerte årsager: Man vil undgå bøder. Men den tilgang er ifølge Diana Görlitz kontraproduktiv. I stedet bør ønsket om compliance komme ud af et ønske om at sikre sin forretning mod f.eks. kriminelle cyber angreb som er den mest relevante risiko for de fleste danske virksomheder, der ikke engang kender sine egne it-sårbarheder endnu.
»Man kan sammenligne det med en virksomhed, der indskærper over for sine chauffører, at de skal overholde færdselsloven for at undgå bøder. Det skal de selvfølgelig, men først og fremmest for at beskytte medarbejderne mod at køre galt og dernæst forretningen mod utilsigtede driftsstop og omkostninger«
Tilsvarende er det ifølge Görlitz lovgivningen, der driver en stor del af markedet omkring NIS2. For at overholde loven og undgå bøder, ønsker virksomhederne at vide, hvad de nye regler betyder lige præcist for dem, i en dansk kontekst, sektorspecifikt og hvad præcis reglerne omfatter.
NIS2 er EU’s andet direktiv, der skal højne informations- og cybersikkerheden i Europa. Det første NIS-direktiv er fra 2018 og havde først og fremmest fokus på kritisk infrastruktur. Med NIS2 udvides fokus til at omfatte virksomheder inden for mange flere brancher som fødevareindustrien, energibranchen og forsyningsvirksomheder samt en lang række af virksomheder inden for produktion lige som mange digitale og online services samt offentlige myndigheder inkluderes. Desuden forventes det, at have betydning for endnu flere end dem, der direkte er omfattet fordi kravene også rækker langt ud i disse virksomheders forsyningskæder.
NIS2 blev vedtaget i december 2022 og vil have virkning i Danmark i efteråret 2024, hvor efter myndighederne kan begynde at give bøder til de omfattede virksomheder, hvis ikke de overholder loven.
Er du i tvivl om, hvordan du skal forholde dig til NIS2 kan du kontakte DNV via www.dnv.dk/ISO27001
Panik før lukketid
Der er en overhængende risiko for, at myndighederne først præsenterer disse specifikke vejledninger lige op til NIS2’s ikrafttræden, måske endda efter, lige som det var tilfældet med GDPR-vejledningerne.
Diana Görlitz forudser, at det vil føre til en slags ”panik før lukketid”: Virksomhederne vil poste uhensigtsmæssigt mange penge i compliance op mod deadline uden at have overvejet de mange tiltags relevans for deres konkrete forretning. Og efter deadline vil opmærksomheden omkring NIS2 falde drastisk, med det resultat at meget af den dyre indsats var spildt og alligevel ikke har haft en særlig forebyggende effekt på kommende risic. En dyr og spildt indsats er i virkeligheden den største langsigtede risiko ved for meget fokus på ensigdig compliance.
Görlitz mener, at man i stedet skal tage fat i problematikken allerede nu og organisere sin indsats omkring informationssikkerhed efter ISO 27001 standarden.
»NIS2-direktivets artikel 21 indeholder en udførlig 10-punkts liste over, hvad man forventer ledelsen tager stilling til i organisationer, der er omfattet af direktivet. F.eks. hvad man skal fokusere på, når man foretager en risikoanalyse, hvilke grænseværdier for risici man har, hvordan man håndterer hændelser, continuity, beredskab osv. Alt det skal man have klart beskrevne processer og procedurer for. «
»Når du sammenligner de 10 punkter med ISO 27001, så er langt de fleste af kravene identiske med det standarden kræver, for at man kan blive certificeret.«
Illustration: Jeppe Carlsen.
Akkrediteret af DANAK
DNV er en global virksomhed grundlagt i 1864 med aktiviteter i 100 lande. DNV er det man i fagsproget kalder et certificerende organ og har dermed en særlig rolle i markedet. DNV er akkrediteret af det nationale akkrediteringsorgan DANAK og med deres over 100 auditorer i Danmark ret til at udstede certifikater, bl.a. inden for kvalitet, miljø, arbejdsmiljø, fødevaresikkerhed og informationssikkerhed.
Diana Görlitz er del af et team af 7 auditorer med speciale i informationssikkerhed. I de seneste år er teamet vokset markant og det vil det fortsætte med at gøre, vurderer hun, ikke mindst på grund af NIS2. Lige nu har DNV omkring 50 virksomheder og organisationer på kundelisten i Danmark, der er ISO 27001 certificeret, bl.a. NNIT, KMD, Københavns Lufthavn og det danske Genomcenter og en voksende gruppe af mindre virksomheder som netop konsekvens af det kommende NIS2 direktiv. Men endnu mere relevant er langt flere på vej og vil blive certificeret i løbet af de kommende år.
Læs mere om NIS2, ISO 27001 og få adgang til et gratis online-selfassessment så du nemt kan tjekke om du overholder kravene.
Kontrollerer implementering
Hun understreger dog, at det er ikke hende eller hendes kolleger, der skal lære virksomhederne at implementere NIS2. Hendes rolle er at kontrollere, at en konkret implementering lever op til ISO 27001 og dermed til også til det nye direktiv.
»Til gengæld er vores kontrol en garanti for, at informationssikkerhed ikke kun er i fokus når der er panik før lukketid. Vi auditerer vores kunder mindst en gang om året og hvert tredje år får de et ekstra grundigt eftersyn. Det sikrer den nødvendige, løbende opmærksomhed på informations- og cybersikkerhed i organisationen.«
