NIS2 & Risk Management: Er cyberrisici virkelig håndterbare? | SITS
Blog

NIS2 & Risk Management: Er cyberrisici virkelig håndterbare?

At spørge, hvornår cyberrisici virkelig er håndterbare, er som at prøve at sætte cirklen i kvadrat. Det er præcis, hvad EU's nye NIS2-direktiv sigter mod at opnå. Dette kan dog ikke opnås med kun én konstant, uanset hvor kompleks den er. Der er dog indikatorer, der viser, om den rigtige vej er gået.
4 minutes

Risikostyring i henhold til NIS2

NIS2 har til formål at beskytte netværks- og informationssystemer, deres brugere og andre personer i EU mod cybertrusler. Dette omfatter alle omstændigheder, begivenheder eller handlinger, der påvirker tilgængeligheden, autenticiteten, integriteten og/eller fortroligheden af data og tjenester. Dette er de sikkerhedsmål, der forfølges med NIS2-direktivet.

Jo mere profileret en virksomhed er, jo større er sandsynligheden for, at den bliver angrebet. Angriberne når i stigende grad deres egentlige ofre via forsyningskæden. Af denne gode grund fokuserer NIS2 ud over sektorreferencen og de nu betydeligt lavere ”threasholds” for antal ansatte og årlig omsætning eller årlig balance nu også på forsyningskæden. NIS2 ser på påvirkningen af en cybertrussel og tillader kun minimal forringelse af de fire nævnte sikkerhedsmål.

Indikatorer for effektiv risikostyring

Følgende nøglespørgsmål bør besvares for at sikre effektiv risikostyring i overensstemmelse med NIS2:

  • Er der taget højde for alle anvendte netværks- og informationssystemer i risikoanalysen?
  • Er der en eksplicit henvisning til alle fire sikkerhedsmål?
  • Er forsyningskædens indflydelse tilstrækkeligt gennemgået?
  • Er der defineret robuste risiko accept kriterier, som er forstået af forskellige personer og fører til sammenlignelige resultater?
  • Er det sikret, at forringelser af de fire sikkerhedsmål ved afslutningen af risikostyringsprocessen er begrænset til et rimeligt forsvarligt niveau?
  • Adresserer risikoanalysen kontekstrelaterede og faktisk relevante cybertrusler i stedet for generelle trusselslister?
  • Er risikostyringen styret af centrale specifikationer fra en retningslinje eller et direktiv?
  • Bliver identificerede risici og deres kilder regelmæssigt revuderet?
  • Er foranstaltningerne til håndtering af eksisterende risici allerede operationelt registreret, og har de den tilsigtede effekt?
  • Kan effektiviteten af de implementerede kontrolforanstaltninger dokumenteres på en forståelig måde?
  • Omfatter sådanne beviser eksplicit alle involverede processer?
  • Bliver det aktuelle tekniske niveau konsekvent overholdt under implementeringen?

Hvis du kan besvare alle disse spørgsmål med et klart ja for din organisation, er du en af de få heldige, der allerede er godt forberedt på NIS2! Men hvis der er tvivl eller usikkerhed, vil du sandsynligvis have brug for specialistassistance. I dette tilfælde kan SITS' NIS2-vurdering hjælpe.

På vej ind i den nye cyberalder

Som en del af NIS2-direktivet står sikkerhedscheferne over for en masse nye ord, som de skal vænne sig til. Processer forstås nu som "cybersikkerhedspraksis". Foranstaltninger bruges til gengæld til "cybersikkerhedshygiejne".

Ud over risikostyring kræver NIS2-kompliant processer også beredskabsplan, ”incident management”, styring af ”supply chain” og personaleledelse, der er rettet mod NIS2. Medarbejderne skal også udtrykkeligt gøres opmærksomme på cybersikkerhed. Det gælder både ledere og ledende medarbejdere.

Foranstaltningerne er til gengæld primært rettet mod at forhindre datatyveri. Der kræves foranstaltninger til sårbarheds- og patch management, password management, systemhærdning, netværkssegmentering, databackup og forebyggelse af trusler mod den fysiske sikkerhed samt internet og energiforsyning. Man skal være forberedt på menneskelige og tekniske fejl og være i stand til at genkende og om muligt afværge ondsindede angreb.

Kort sagt: I forbindelse med cybersikkerhed er der meget arbejde, der skal gøres af de sikkerhedsansvarlige og de berørte afdelinger, og det skal gøres inden for en kort implementeringsperiode. Og hvis en organisation ikke gør det, eller ikke gør det fuldstændigt eller præcist nok, kan den blive udsat for betydeligt administrative sanktioner mere omfattende end under de tidligere retningslinjer og under visse omstændigheder endda afskedigelse af medlemmer af dens bestyrelse.

Og hvad mere er: Nationale lovgivere i EU kan stramme disse regler yderligere som en del af deres nationale implementering.

NIS2: Er du berørt?

På den ene side omfatter NIS2 derfor institutioner, som nu er direkte adresseret på grund af deres sektortilknytning. Det er en udfordring at tjekke, om dette er tilfældet. Vi har udarbejdet et online-tjek til dig, som giver dig de relevante oplysninger. På den anden side dækker NIS2 også anlæg, der fungerer som en del af forsyningskæden. Og igen, uanset deres størrelse. Optimistiske skøn antager, at der er tale om mindst en faktor 10 for nyligt forpligtede organisationer og virksomheder. Virkeligheden vil sandsynligvis være betydeligt højere.

Category Tags
AI Assessment & Advisory Cloud Platform Security Cyber Defense Identity & Access Management NIS2 Optional Security & IT Solutions
Solutions
Perfectly equipped for the NIS2 directive
Det nye EU-cybersikkerhedsdirektiv NIS2 (Netværks- og informationssikkerhedsdirektiv 2 (EU) 2022/2555) blev vedtaget i oktober 2022 og skal være gennemført i lov senest oktober 2024.
Learn more
NIS2 og risikostyring: Er cyberrisici virkelig håndterbare?
At spørge, hvornår cyberrisici virkelig er håndterbare, er som at forsøge at løse cirklens kvadratur. Det er præcist, hvad EU's nye NIS2-direktiv har til formål at opnå. Men det kan ikke opnås med kun én konstant, uanset hvor kompleks den er. Der er dog indikatorer, som viser, om man er på rette vej.
Learn more
Cyber Defense
06. september 2024
Threat Intelligence - Viden er magt og sikkerhed
Learn more
AI
16. april 2024
Afværgelse af AI-angreb: Sådan beskytter man data og systemer
Learn more
Assessment & Advisory
15. april 2024
ISO 27001-certificering uden forsinkelse
Learn more
Assessment & Advisory
10. april 2024
Managed Services for at imødegå manglen på arbejdskraft
Learn more
Security & IT Solutions
09. april 2024
Workload Security med SASE, sådan fungerer det
Learn more
Cloud Platform Security
09. april 2024
DevOps-sikkerhed: Stresstest for kultur og teknologi
Learn more
Identity & Access Management
05. april 2024
Biometri - bedre sikkerhed uden adgangskoder?
Learn more
Cyber Defense
05. april 2024
Threat Intelligence - Viden er magt og sikkerhed
Learn more
NIS2
05. april 2024
NIS2 & ISO/IEC 27001:2022: Nye kontroller for at opfylde begge standarder
Learn more
Identity & Access Management
05. april 2024
Hvordan Privileged Access Management øger sikkerheden
Learn more
Assessment & Advisory
05. april 2024
Meta-Titel: vCISO - mere it-sikkerhed gennem brugertilpasset support
Learn more
AI
03. april 2024
AI fra Microsoft: Er din virksomhed Copilot Ready?
Learn more
NIS2
02. april 2024
NIS2 & Risk Management: Er cyberrisici virkelig håndterbare?
Learn more
Cloud Platform Security
28. marts 2024
Beskyttende skjold til dine skyplatforme: Tips, tricks, faldgruber
Learn more
Assessment & Advisory
28. marts 2024
Sikkerheds-allrounderen CISO: Outsource eller ansætte dig selv?
Learn more
Cyber Defense
28. marts 2024
Håndtering af cybersikkerhedsrisici i industriel IoT og OT
Learn more
Vi er her for dig
Udfyld formularen og vores eksperter kontakter dig.
This site is registered on wpml.org as a development site. Switch to a production site key to remove this banner.