NIS2 opstiller en række krav til håndtering af cyberrisici. Formålet er at beskytte netværks- og informationssystemer, deres brugere og andre personer i EU mod omstændigheder, hændelser eller handlinger, der kompromitterer tilgængeligheden, autenticiteten, integriteten og/eller fortroligheden af data eller tjenester. For at opnå dette skal passende processer - kaldet "cybersikkerhedspraksis" i NIS2-sammenhæng - og foranstaltninger - kaldet "cybersikkerhedshygiejne" i NIS-sammenhæng - implementeres effektivt.

Både definitionen af de nødvendige processer og implementeringen af passende foranstaltninger udføres bedst som en del af et ledelsessystem for informationssikkerhed (ISMS). Den vigtigste standard for et ISMS, som især gælder i hele EU, er ISO/IEC 27001. Selv da NIS2-direktivet blev udarbejdet, var en klar reference til ISO/IEC 27001 tydelig i kravet i artikel 21, stk. 1, sammenholdt med betragtning 79: Relevante internationale standarder som ISO/IEC 27000-serien skal inddrages i forebyggelsen af cyberrisici!

Nye kontroller fra Annex A i ISO/IEC 27001, som er beskrevet mere detaljeret i den nye version af ISO/IEC 27002, er endda perfekt egnet til at implementere NIS2-krav. Når NIS2-kravene opfyldes, kræves der dog også væsentlige komponenter fra den del af ISO/IEC 27001:2022, der skal opfyldes direkte som en del af certificeringen. Det er værd at se nærmere på her.

Traditionel informationssikkerhed beskytter primært sikkerhedsmålene om tilgængelighed, integritet og fortrolighed af data og tjenester. I NIS2-sammenhæng er autenticitet tilføjet som et selvstændigt sikkerhedsmål.

I den sædvanlige risikoanalyse overvejes kun indvirkningen på den direkte operatør af netværket og informationssystemerne inden for rammerne af deres ISMS. I NIS2-sammenhæng udvides dette til at omfatte uønskede risici for samfundet.

I modsætning til sin forgænger kræver den nye version af ISO/IEC 27001 nu, at opfyldelsen af sikkerhedsmål overvåges, og at kriterier for ISMS-processer defineres og styres i overensstemmelse med disse kriterier. Det er her, de to rammeværker konvergerer. Et kriterium for den kvalitet, der skal implementeres, er specificeret af den ønskede håndterbarhed mod uønskede forringelser, som også kan påvirke brugere og andre personer. Samtidig øger dette mærkbart og betydeligt den modstandsdygtighed, der opnås mod eksisterende cybertrusler. Så begge sider vinder.

NIS2-specifikke kontroller fra ISO/IEC 27001:2022:

• Det eksisterende trusselsbillede skal analyseres eksplicit (A.5.7)
• Data, der skal beskyttes, skal klassificeres i henhold til alle fire sikkerhedsmål (A.5.13)
• Identiteters komplette livscyklus skal grundigt overvejes, når man definerer adgangsrettigheder (A.5.16).
• Etablerede cybersikkerhedspraksisser i forsyningskæden skal overvåges eksplicit (A.5.19 - A.5.22).
• Erfaringer fra hændelser skal bruges til at forbedre cybersikkerheden (A.5.27).
• Netværks- og informationssystemer skal tilpasses for at opfylde målene for forretningskontinuitet og sikre modstandsdygtighed (A.5.30).
• Personale og tilknyttet parter skal uddannes i specifikke cybersikkerhedskrav (A.6.3)
• Opretholdelse af fysisk sikkerhed kræver konstant overvågning (A.7.4)
• Netværks- og informationssystemer skal konfigureres sikkert (A.8.9)
• Usædvanlig systemadfærd skal overvåges (A.8.16)
• Kun sikre netværk og netværksenheder må integreres (A.8.20)

Ovenstående kontroller er faktisk tæt forbundet med NIS2-krav som en del af den nye version af ISO/IEC 27001 og bidrager derfor aktivt til NIS2-konformitet.

Ved konsekvent at implementere NIS2-krav som en del af et ISMS, der er i overensstemmelse med ISO/IEC 27001:2022, opnås ikke kun NIS2-overholdelse, men der implementeres eller forbedres også et fremadrettet ISMS. Det er derfor lettere at certificere og tjener til gengæld som bevis på effektivt implementeret NIS2-overholdelse af cybersikkerhedspraksis i forsyningskæden.

Eksperterne hos SITS hjælper dig med at gøre dit ISMS NIS2-kompatibelt eller i overensstemmelse med den nye version af ISO/IEC 27001 samt med at etablere passende, målrettede og effektive foranstaltninger til cybersikkerhedshygiejne og implementere dem i praksis.