NIS 2
NIS 2 er et direktiv fra EU som har til formål at sikre et højt niveau af cybersikkerhed for alle medlemslandene. En disciplin, der sikrer, at samfundskritiske services som el, vand, varme, transport, medicin og fødevareproduktion (m.fl.) har styr på tingene, hvis uheldet er ude. Netop ordet “kritisk” er en betegnelse, der anvendes om de virksomheder (eller enheder, hvis man bruger NIS 2-sprog) som er væsentlige for vores samfund. Det er jo en rar ting, at man kan betale for sine madvarer, når man er ude at handle, så vi er fri for at plyndre bankerne som… nåh ja, alligevel ikke ligger inde med kontanter i dag. Alt det vi i dag tager for givet og først skænker en tanke, når der er problemer i leverancen.
Vi kan alle hurtigt blive enige om, at det naturligvis er en god idé at have en høj standard hvad angår sikkerhed for disse services. Men hvordan lever man som virksomhed op til disse krav? Faktisk er det relativt enkelt, men ikke nødvendigvis simpelt. Lad mig forklare…
Mange virksomheder af en vis størrelse og karakter er allerede rigtig godt med. Det er nemlig sådan, at de helt klassiske dyder og best practices går igen i mange af de ting som NIS 2 søger at sikre: (eksempler - ikke fyldestgørende)
- Risikoanalyser
- Driftskontinuitet
- Afhængighedshåndtering (forsyningskædesikkerhed)
- Cyberhygiene
- Patch management
- Fysisk adgangskontrol
- Segmentering
- Identitetsbaseret adgang til netværk og systemer incl. brug af MFA
- Kryptering af data
- Uddannelse af personale med fokus på phishing og sikker adfærd
- Backup-procedurer
- Zero-trust principper
- Incidenthåndtering
- Overvågning
- Dokumentation
De fleste virksomheder kan nok spejle sig selv i ovenstående liste. Det er god skik at have styr på disse ting. Og selvom listen kan synes enkel og overskuelig, er det ikke nødvendigvis let (simpelt) at få den indført. For i hvilken grad har man styr på disse elementer? Hvilket niveau af politikker og dokumentation har man og er det tilstrækkeligt? Her bærer ledelsen et stort ansvar, da det hele faktisk hviler på deres skuldre - med mulighed for at forbyde den administrerende direktør at udøve ledelsesfunktioner og i sidste ende også strafbart med bøde, hvis man er helt på tværs. Alvoren kan let fornemmes, hvorfor NIS 2 har vagt stor opsigt og lettere påstyr og gør det tilstadighed. Loven er trådt i kraft og har været det siden d. 1. juli 2025.
En af måderne hvorpå man kan gardere sig mod at være kompliant er, at vurdere sin risiko med den helt klassiske risikovurdering, hvor man finder produktet af sandsynlighed og konsekvens:
På en skala fra 1-5 (fra lav til meget høj):
| Scenario | Sandsynlighed | Konsekvens | Risikozone |
|---|---|---|---|
| Phising-angreb | 4 | 3 | 12 (mellem) |
| Ransomwere | 3 | 5 | 15 (høj) |
| Netværksafbrydelse til DC | 2 | 3 | 6 (lav) |
Risikozoner:
- 1-5 = Lav risiko
- 6-12 = Mellem risiko
- 13-25 = Høj risiko
Vægtningen (sandsynlighed og konsekvens) er naturligvis op til den enkelte virksomhed at vurdere (ofte i samarbejde med uvildig tredjepart) med afsæt i ens nuværende (dokumenteret!) sikkerhedsniveau. Altså, ovenstående scenarie hvor data centeret afbrydes netværksmæssigt synes af være tæt på usandsynligt, men kan ske og konsekvensen heraf vurderes mærkbar, men håndterbar, da infrastrukturen er designet med redundans for øje, samt dækket ind med serviceaftale på hardwaren, således man kan komme i luften på relativt kort tid i tilfælde af dobbeltfejl. (foregående scenarie er meget simplificeret og mangler masser af detaljer/kontekst som man medtager i sin vurdering/dokumentation af risikoen)
NIS 2 handler om kontrol og processer, hvor den tekniske del for at indfri disse, måske synes lettere at håndtere til sammenligning. Heldigvis findes der værktøjer som hjælper én med at kontrollere om man står på sikker grund hvad angår ens cybersikkerhedsniveau. Et af disse er CIS kontrollerne som med sine 18 punkter (kritisk sikkerhedskontroller) hjælper til at vurdere netop dette.
Har man en større forsyningsvirksomhed, hører man under energistyrelsen, som foruden at være håndhævere af NIS 2 (og et andet direktiv, der hedder CER), har sin helt egen beredskabslovgivning om modstandsdygtighed i energisektoren. Her skærpes fokus og fordrer, at man bl.a. er tilmeldt en “it-sikkerhedstjeneste”. Den finansielle sektor har ligeledes fået sin egen forordning, DORA, som har til formål at sikre den digitale modstandsdygtighed. Denne håndhæves af finanstilsynet. Foruden de generelle sunde tiltag i NIS 2, findes altså sektor-specifikke regler man lige skal tage højde for at inkludere i forhold til sin infrastruktur.
Når alt kommer til alt, er der behov for produkter til at understøtte ens politikker og design. Her er det vigtigt, at man ikke blot køber ind af alle produkter fra øverste hylde, men finder den rette balance i de funktioner man har behov for. Hverken mere eller mindre. Og som altid, når det kommer til sikkerhed, skal man huske, at der ikke findes ét produkt som dækker alle ens behov. Ergo slipper man ikke afsted med blot at købe en firewall og så er man sikker. De dage er længe forbi. Gør det, der giver mening for den virksomhed du har og vær’ ikke så nervøs for om du er NIS 2 kompliant, så længe der er tænkt over tingene og du kan dokumentere det.
