Nyheder

NIS 2-risikovurdering: Sådan bør ledelsen håndtere det

Det nye NIS 2-direktiv stiller krav om, at omfattede virksomheder skal implementere en række tiltag med henblik på at højne it-sikkerhedsniveauet. Vi giver i denne artikel et foreløbigt overblik over, hvordan ledelsen bør håndtere de nye krav og foretage en afvejning af virksomhedens risici. Direktivets krav skal senest være gældende dansk ret den 18. oktober 2024.

Hvilke krav indeholder NIS 2-direktivet?

NIS 2-direktivet opstiller en række væsentlige krav inden for styring af informationssikkerhed, som de omfattede virksomheder skal iagttage.

Overordnet set er ledelsen ansvarlig for at godkende og efterfølgende føre tilsyn med, at der træffes passende og forholdsmæssige tekniske, operationelle og organisatoriske foranstaltninger for at tilsikre et overordnet højt niveau af informationssikkerhed.

Passende tiltag kan blandt andet bestå i:

  • Opgradering af it-udstyr og software
  • Opgradering af it-infrastruktur og gennemførelse af sårbarhedsanalyser med henblik på identifikation af indsatsområder/forbedringspunkter
  • Kortlægning og sikring af aftaler med leverandører
  • Udarbejdelse og implementering af retningslinjer for medarbejdere
  • Udarbejdelse af politikker for risikostyring m.v.
  • Afholdelse af undervisning for ledelse og medarbejdere i cybersikkerhed på et adækvat niveau

Hvilke specifikke tiltag, den enkelte virksomhed skal implementere i henhold til NIS 2-direktivet, skal vurderes ud fra en konkret risikobaseret tilgang, hvori indgår blandt andet virksomhedens aktuelle it-sikkerhedsniveau, europæiske og internationale standarder for it-sikkerhed og gennemførelsesomkostninger, der skal vejes op imod de identificerede risici.

Vurderingen af, hvilke foranstaltninger der er proportionale, afgøres ud fra graden af virksomhedens eksponering, virksomhedens størrelse, sandsynligheden for at hændelser indtræffer og deres alvor, herunder deres potentielle samfundsmæssige og økonomiske påvirkning.

Der er således ikke tale om, at ”one size fits all”, hvis det skal sikres, at omfattede virksomheder opfylder NIS 2-direktivets krav, men samtidig undgår at fejlfortolke krav og dermed foretage ændringer, som ikke er påkrævet (med deraf følgende meromkostninger).

Der kan mellem NIS 2-direktivet og GDPR drages flere paralleller. De omfattede virksomheder skal i henhold til begge regelsæt opfylde it-sikkerhedsmæssige krav, som skal implementeres og afspejles i virksomhedens forretnings- og arbejdsgange. Der er med andre ord tale om et dokumentationskrav til sikkerhedsarbejdet, hvori virksomhederne overfor regulatoriske myndigheder, kunder og samarbejdspartnere skal kunne dokumentere, at risikoen og de implementerede kontroller er proportionelle og afstemt ift. indvirkning på det omkringliggende samfund.

Sikring af overholdelse af GDPR var for mange virksomheder en proces, som viste sig overraskende tidskrævende for virksomhederne selv, og flere virksomheder startede processen for sent i forhold til opgavens omfang sammenholdt med målet om at være compliant med GDPR i forbindelse med GDPR’s ikrafttræden. Ledelsen bør være opmærksom på, at implementering af NIS 2-direktivet tilsvarende GDPR vil være forbundet med en del forberedelse, men også efterfølgende drift, opfølgning og tilpasning.

Ledelsens strategi for implementering af NIS 2-direktivet    

Overordnet set anbefaler vi, at ledelsen snarest muligt udarbejder en strategi for håndteringen af implementeringsarbejdet i relation til NIS 2-direktivet, da omfanget af NIS 2-direktivets krav for flere virksomheder må forventes at medføre, at der venter et væsentligt administrativt og økonomisk ressourcetræk.

På baggrund af NIS 2-dirketivets anvendelsesområde og væsentlige krav til foranstaltninger inden for styring af it-sikkerheden, vil der være behov for, at de omfattede virksomheders ledelse så tidligt som muligt får afklaret, om deres virksomheder er omfattet af NIS 2-direktivet.

En strategi/plan for ledelsen bør i hvert fald omfatte følgende:

  • Etablering af overblik over virksomhedens it-landskab
  • Gennemførsel af sårbarhedsanalyse
  • Afklaring af NIS 2-diretivets krav i forhold til virksomheden
  • Fit/gap analyse i relation til ”as-is” og “to-be”
  • Afklaring og beslutning om behov for ændringer i it-landskab
  • Vedtagelse af interne regler for virksomheden til sikring af NIS 2-direktive compliance
  • Vedtagelse af krav i forhold til it-leverandører
  • Implementering og løbende kontrol af, at reglerne overholdes
  • Sikring af dokumentation for overholdelse af virksomhedens vedtagne regelsæt
  • Proces for løbende vedligeholdelse af virksomhedens regelsæt

Som det fremgår oven for, vil det af hensyn til sikring af overholdelse af NIS 2-direktivets minimumskrav være nødvendigt, at ledelsen målrettet kan styre og kontrollere virksomhedens risici ved brug af it, herunder også leverandørstyring. Ledelsen skal derved påse, at den risikovurdering, der udarbejdes, står mål med de aktuelle risici, med henblik på at vurdere hvilke passende og forholdsmæssige tekniske, operationelle og organisatoriske foranstaltninger, der skal implementeres.

I første omgang bør ledelsen hurtigst muligt i samarbejde med blandt andet de(n) it-ansvarlige i virksomheden foretage en screening af virksomhedens informationsaktiver, forretningsprocesser og procedurer, som kan danne grundlag for virksomhedens risikovurdering. Screeningen skal skabe det nødvendige overblik over virksomhedens aktuelle sikkerhed i net- og informationssystemer. Herefter foretages en afvejning af det aktuelle risikobillede og minimumskravene i NIS 2-direktivet, så der sikres harmonisering i implementeringsprocessen. Ledelsen skal samtidig sikre, at strategien for risikoniveauet vedligeholdes.  

Vi anbefaler, at alle ledelsesmedlemmer prioriterer arbejdet med NIS 2-direktivet med hensyn til risikoen for individuelt og personligt ledelsesansvar.

Et behov for en fast metode til risikostyring

Hvor databeskyttelsesforordningen regulerer behandlingen af personoplysninger – så regulerer NIS 2, groft sagt, alle de forretningskritiske aktiviteter. Baggrunden herfor er, at NIS 2 er udformet med det formål at reducere de negative konsekvenser for samfundet i forbindelse med cyberaktivitet fra blandt andet statsstøttede kriminelle.

Det er i lyset heraf vores vurdering, at en tilstrækkelig og tidsmæssig implementering af kravene i NIS 2 vil blive afgørende for virksomhedernes konkurrenceevne selv på den korte bane.

Omfanget af et NIS 2-projekt i kombination med kravene til ledelsens styring af virksomhedens informationssikkerhed forudsætter, at afrapporteringen til ledelsen og beslutningsgrundlaget følger en fast metode med henblik på at sikre et tilstrækkeligt niveau uden tilsvarende overimplementering. 

Vi tilbyder – i samarbejde med Instituttet for Cyberrisk

Vi tilbyder derfor i samarbejde med Instituttet for Cyberrisk (IFCR) en trusselsbaseret tilgang til styringen af risikoen. Risikostyring kan forekomme meget komplekst, der findes mange værktøjer og metoder, der forsøger at samle denne kompleksitet. ICFR kan anvende de fleste metoder, men anbefaler en simpel ’no-nonsence’ metode, der lægger vægt på at etablere et strategisk styringsværktøj, der kan etablere kommunikation mellem ledelse, forretningsområder og teknikerne.

Tilgangen bygger på en bredt anerkendt metode for opbygningen af sektorspecifikke trusselsbilleder – trusselsbilleder som udgør grundlaget for det videre arbejde. Dermed reduceres usikkerheden i beslutningerne om, hvilket tiltag der kan og bør implementeres, og hvilket niveau der kan betragtes som tilstrækkeligt for jeres virksomhed. 

Gevinst ved fast metode til risikostyring

En fast metode til risikovurdering giver fem særegne gevinster:

  • Evne til at prioritere mellem risici på et oplyst grundlag
  • Dokumenterbar efterlevelse af lovkrav til ledelsesansvaret for risikostyring efter såvel GDPR som NIS 2
  • Effektivitet, da de enkelte afdelinger kun skal forholde sig til deres eget fagområde
  • Gentagelighed, da de faglige kompetencer til at løse specifikke opgaver i risikostyringen kan defineres og afgrænses
  • Implementering af metode til risikostyring

Vil du holdes opdateret på nyheder om NIS 2-direktivet?

I vores nyhedsserie om NIS 2-direktivet vil vi løbende opdatere dig på, hvordan den danske lovgivningsproces og implementering af NIS 2-direktivet udvikler sig. Artiklerne vil være målrettet ledelsen i virksomheder inden for de sektorer, der omfattes af NIS 2-direktivet. Vil du sikre, at du får adgang til de kommende artikler om NIS 2-direktivet, kan du tilmelde dig via denne formular.

Har du spørgsmål til, hvordan du håndterer det nye NIS 2-direktiv, er du altid velkommen til at kontakte vores specialister for en uforpligtende drøftelse.

Tilmeld dig nyhedsbrevet DAHL Nyt

Modtag vores nyhedsbrev pr. e-mail og bliv opdateret på juridiske emner og nye kurser.

Læs betingelser

Betingelse for modtagelse af nyhedsbrevet DAHL Nyt

Hvem udsender nyhedsbrevet?

Nyhedsbrevet er en service, der udbydes af DAHL Advokatpartnerselskab. Vores fulde kontaktoplysninger er:

DAHL Advokatpartnerselskab
Lundborgvej 18
8800 Viborg
CVR. nr.: 37 31 00 85

Du vil kun modtage markedsføringsmateriale fra DAHL Advokatpartnerselskab.

Hvilke oplysninger indsamles om mig?

DAHL Advokatpartnerselskab behandler din oplyste e-mailadresse og dit navn – dette er alt, vi behøver for at kunne sende dig nyhedsbreve. Når du via nyhedsbrevet tilmelder dig et af vores arrangementer, vil vi i nogle tilfælde ligeledes behandle oplysninger om firmanavn og telefonnummer.

Vi indsamler desuden oplysninger om din adfærd i forbindelse med din brug af nyhedsbrevet – herunder oplysninger om om vores nyhedsbrev bliver åbnet, hvor lang tid e-mailen er åben, og om der klikkes på links i nyhedsbrevet. Du skal herudover være opmærksom på, at hvis du klikker på links i nyhedsbrevet til vores hjemmeside, kan vi indsamle yderligere oplysninger om dig, hvis du accepterer, at vores hjemmeside bruger cookies. Du kan finde yderligere information om vores brug af cookies i vores cookiepolitik.

Hvad bruger vi dine oplysninger til?

Når du tilmelder dig vores nyhedsbrev, bruger vi dine oplysninger til at udsende faglige nyheder, kursus- og øvrige arrangementstilbud samt andet markedsføringsmateriale til dig. Vi kan endvidere bruge dine oplysninger til at udsende orienterende e-mails om DAHL Advokatpartnerselskab eller om vores nyhedsbrev. Vores udsendelse af nyhedsbrevet sker på grundlag af dit samtykke.

De oplysninger, vi indsamler om dig og din adfærd i forbindelse med din brug af nyhedsbrevet, anvender vi til at forbedre vores service og indhold, så vi i fremtiden kan blive endnu bedre til at målrette og tilpasse indholdet i vores nyhedsbreve efter dine interesser. Vi behandler dine personoplysninger til disse formål efter reglen i databeskyttelsesforordningens artikel 6, stk. 1, litra f. Hvis du ikke ønsker, at vi behandler dine oplysninger til disse formål, har du til enhver tid ret til at gøre indsigelse mod behandlingen.

Oplysninger om din brug af nyhedsbrevet anvender vi herudover til statistiske formål i anonymiseret form.

Dine oplysninger behandles fortroligt og sikkert

Vi opbevarer dine oplysninger fortroligt og sikkert. Vi har implementeret de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger, der sikrer, at dine oplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes, samt mod at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med persondatalovgivningen.

Vi bruger en underleverandør til vores drift af IT. Vi har sikret, at vores IT-udbyder er underlagt samme forpligtelse, og at de alene handler på vores instruks.

Hvor ofte udsendes nyhedsbreve?

Vi udsender vores nyhedsbrev, når vi mener, at vi har noget vigtigt eller nyt at fortælle dig. Nyhedsbrevet udkommer ikke med faste intervaller. Det er derfor forskelligt, hvor ofte du kan forvente at modtage nyhedsbreve fra os. Vi bestræber os dog på at begrænse antallet, så vores nyhedsbreve ikke fylder hele din indbakke.

Vi videregiver ikke dine oplysninger

Vi videregiver ikke dine oplysninger til andre i kommerciel henseende. Vi videregiver kun oplysninger, hvis vi er forpligtet til det efter loven, eller hvis vi forpligtet til det efter en retskendelse.

Du kan altid rette eller ændre dine kontaktoplysninger

Du kan til enhver tid ændre eller rette i dine kontaktoplysninger (din e-mailadresse og navn) ved at afmelde dig nyhedsbrevet, og derefter tilmelde dig igen eller ved at sende en e-mail til tvc@dahllaw.dk, hvori du angiver ændringsønsker.

Det er beskrevet nedenfor, hvordan du framelder dig vores nyhedsbrev.

Du kan altid afmelde dig yderligere henvendelser

Du kan til enhver tid trække dit samtykke tilbage og framelde dig nyhedsbrevet. Når du har frameldt dig nyhedsbrevet, modtager du ikke yderligere fra os, medmindre du har givet andet samtykke til, at vi må henvende os til dig. Vi sender dig dog en bekræftelse på, at vi sletter dig fra modtagerlisten for vores nyhedsbrev, og vi sletter derefter dine oplysninger på vores modtagerliste.

Nyhedsbrevet kan afmeldes ved at klikke på linket ”afmeld nyhedsbrev”, som er indeholdt i hvert nyhedsbrev, du modtager fra os. Du kan også afmelde nyhedsbrevet ved at sende en e-mail til tvc@dahllaw.dk, hvori du oplyser dit navn og din e-mailadresse.

Hvor længe opbevarer I oplysningerne om mig?

Vi opbevarer og behandler dine oplysninger lige så længe, som du er tilmeldt vores nyhedsbrev. Hvis du afmelder dig fra nyhedsbrevet, sletter vi dine oplysninger.

Hvis du framelder dig vores nyhedsbrev, anonymiseres alle statistiske data om din brug af nyhedsbrevet. Anonymiseringen sker på en sådan måde, at det ikke efterfølgende er muligt at deanonymisere oplysningerne igen.

Dine øvrige rettigheder efter persondatalovgivningen

Du har til enhver tid mulighed for at gøre brug dine rettigheder efter persondatalovgivningen.

Du kan bl.a. anmode om indsigt i de personoplysninger, som vi behandler, samt gøre indsigelse mod behandlingen af oplysningerne. Du kan desuden anmode om berigtigelse eller sletning af eventuelle ukorrekte oplysninger om dig selv, trække et samtykke til behandling af dine personoplysninger tilbage samt gøre din ret til dataportabilitet gældende. I visse tilfælde kan du endvidere have ret til at få behandlingen af dine personoplysninger begrænset.

Hvis du ønsker at gøre brug af én eller flere af dine rettigheder, kan du kontakte cbm@dahllaw.dk.

Hvis du er uenig, i den måde vi behandler oplysninger om dig på, kan du klage til Datatilsynet.

Du modtager nu DAHL Nyt

Forretningsområder du ønsker info om:

  • Intet valgt

Din information

Du kan altid trække dit samtykke tilbage og afmelde dig vores nyhedsbrev

Accepter betingelserne