NIS2 kommer til at have praktisk betydning for dig som informationssikkerhedsansvarlig, da direktivets krav er direkte rettet imod administrationen af informationssikkerhed.
Mangler du noget fortsat information om NIS2, så klik her og få styr på det grundlæggende.
Det skal nævnes, at vi ser NIS2 som en mulighed for at få øget ledelsesopbakning samt styrke fokus på hele informationssikkerhedsarbejdet.
Har I allerede et ISMS- eller GRC-værktøj, der er bygget på ISO 27001/2, er I kommet et langt stykke hen ad vejen. En dokumenteret efterlevelse af ISO 27001/2 vil - med få tilføjelser - sandsynligvis være tilstrækkeligt for at efterleve NIS2-direktivet.
Der er dog to hovedområder, som det vil være en god idé at tage et ekstra kig på:
- Udvidelse af ledelsesprocesser herunder en præcisering af roller og ansvar
ISO 27001 indeholder krav til ledelsens engagement og opbakning om informationssikkerhedsarbejdet. På samme måde stilles der krav til uddannelse af medarbejdere (awareness) samt til, at roller og ansvar i forbindelse med sikkerhedsarbejdet skal beskrives og uddelegeres. Selv om I allerede har disse områder på plads, kan det her betale sig at kigge på, om noget skal omorganiseres, beskrives yderligere eller om der er nye emner I skal uddanne medarbejderne i. - Præcisering og justering af kontrolforanstaltninger
Som før nævnt: Har I implementeret jeres ISMS/GRC værktøj efter ISO 27001 og benyttet kontrolforanstaltningerne i Annex A/ISO 27002 er I allerede langt. Det kan dog være, at der nogle steder skal ske en præcisering i forhold NIS2. Hvis I i dag benytter et ISMS eller GRC-værktøj, hvor ISO-kontrolforanstaltninger er mappet op på NIS2-direktivet, skal I dog ikke lave dobbeltarbejde. Hvis ikke, kan I benytte nedenstående tabel, som i hovedtræk angiver, hvor de vigtigste områder I NIS2-direktivet ligger i forhold til ISO 27001.
Områderne uddybes i næste afsnit:
|
NIS2-område |
Kontrolforanstaltninger |
Kontrolforanstaltninger |
|---|---|---|
|
Risikohåndtering |
ISO 27001 6.1, 8.1 |
ISO 27001 6.1, 6.2 8.1 |
|
Håndtering af hændelser 1) |
ISO 27001 7.3 ISO2700 A16 |
ISO27002 5.24 5.27 &.8 |
|
Sikkerhed i netværk og informationssikkerhed ved erhvervelse og udvikling af systemer |
ISO27001 |
ISO 27001 A8.32 |
|
Beredskab |
ISO 27001 |
ISO27002 8.15 |
|
Personsikkerhed |
ISO 27001 A7 |
5.9-5.11, 6,1- 6.8 |
|
Aktiver |
ISO 27001 A8 |
5.9-5.11, |
|
Netværkssikkerhed |
ISO 27001 A13 |
8.8 |
|
Adgangskontrolsikkerhed |
ISO 27001 A9 |
ISO27002 5.17 5.29 |
|
Kryptografi |
ISO 27001 A10 |
ISO27002 |
|
Leverandørstyring |
ISO 27001 8.1 ISO 17001 A15 |
5.19 |
|
Kontrol af efterlevelse |
ISO 27001 9.3 ISO 27001 A18.2 |
ISO 27001 9.3 |
Når kontrolforanstaltningerne er gennemgået, vil der være et naturligt forløb, hvor de skal trykprøves med henblik på at finde ud af, hvor effektive de faktisk er. Dette kan evt. gøres i forbindelse med den kommende interne audit under hensyntagen til de råd og vejledninger, der (forhåbentlig) på dette tidspunkt er kommet fra den udpegede tilsynsmyndighed.
Forskellen på ISO 27002 og NIS2
NIS2-områderne, som er vist i tabellen ovenfor, beskriver en række specifikke minimumskrav til, hvordan man arbejder med informationssikkerhed. Disse findes hovedsageligt i §21 og §23 i direktivets tekst. Som sagt er der et stort overlap med ISO 27001/2, men nogle steder skal I måske præcisere eller udbygge jeres informationssikkerhed:
- Risikohåndtering
I forbindelse med NIS2, skal der foretages systematiske og periodiske risikoanalyser på informations-aktivers sårbarhed over for cyberhændelser. Analyserne forventes at skulle følge de samme krav som i ISO 27002.
NIS2 stiller krav til et fokus på cybersikkerhed ud fra et samfundsperspektiv – men metode og proces vil være velkendte for virksomheder, som har arbejdet systematisk med risikoanalyse og -evaluering i forbindelse med ISO 27002. - Håndtering af hændelser
Der lægges særlig vægt på håndtering af sikkerhedshændelser, og her kommer vi - i modsætning til ISO 27001 - til at se konkrete krav om en formaliseret og beskrevet proces for dette. Der vil være konkrete krav til, hvordan, til hvem og indenfor hvilken tidsramme hændelser skal rapporteres. Er man bekendt med GDPR, vil dette være genkendeligt, idet GDPR også indeholder specifikke krav til indrapporteringer til myndigheden (Datatilsyn) og underretning af registrerede. Der forventes også krav til, at håndtering af sikkerhedshændelser kommer til at stille yderligere krav til root cause analysis af hændelser. - Sikkerhed i netværk og informationssikkerhed ved erhvervelse og udvikling af systemer
Beskyttelse af netværk er et af de bærende elementer. Der lægges vægt på at etablere en kombination af tekniske, administrative og organisatoriske kontroller, som sikrer at indre og ydre risici håndteres effektivt. - Beredskabsplaner (Business Continuity Planning)
Beredskab og sikring af forretningsdrift får fokus i forbindelse med håndtering af cyberhændelser. I skal demonstrere, at der er håndterings-, informations- og kommunikationsprocesser på plads til at håndtere cyberhændelser, der kan forstyrre eller helt afbryde jeres kritiske forretningsprocesser. - Forsyningskædesikkerhed
Forsyningskædesikkerhed vil sandsynligvis være det område, som får mest fokus. Her skal informationssikkerhed tænkes igennem hele forsyningskæden og trusler, som potentielt kan sprede sig gennem forsyningskæden skal identificeres og mitigeres. - Sikkerhed i erhverv og udvikling
Sikkerhed i erhvervelse og udvikling af systemer skal sikre, at nye systemer vurderes og klassificeres efter deres betydning og at kontrolforanstaltninger modsvarer den risiko, der er forbundet med relevante cybertrusler. - Politik og processer
Sikkerhedspolitikker og understøttende procedurer skal sikre, at sikkerhedsprocesser fungerer efter hensigten. Det vil sige, at kontroller som bl.a. godkendelse af sikkerhedspolitikken, Statement of Applicability (SoA) samt ledelsens gennemgang af informationssikkerheden er dokumenteret. Den underliggende dokumentation kan alt efter branche og risikoprofil være en opgave, som skal håndteres administrativt. - Brug af kryptering
Der er endvidere fokus på konkrete kontrolforanstaltninger som stillingtagen til og forvaltning af krypteringsteknologi samt anvendelse af kryptering. Hvis ISO 27002 efterleves, vil man på dette konkrete kontrolområde kunne leve op til direktivets krav.
Artiklens konklussion
NIS2 direktivet har en signifikant og praktisk betydning for informationssikkerhedsansvarlige, da det direkte adresserer administrationen af informationssikkerheden.
Ved at forstå lighederne og forskellene på NIS2 og ISO 27001/2 kan organisationer drage nytte af deres eksisterende ISMS eller GRC værktøj/arbejde for at efterleve NIS2.
Men det er vigtigt at sætte ekstra fokus på nogle områder såsom ledelsesopbakning og -processer and kontroller, der muligvis behøver tilpasning eller yderligere beskrivelse.
Hjælp til NIS2 compliance
Selv om der stadig er mange uvisheder omkring, hvordan NIS2-direktivet vil blive implementeret i lovgivningen, er det tydeligt, at har man styr på ISO 27001, ja så er man nået langt.
Vores GRC-værktøj hjælper virksomheder og organisationer med at få styr på og overblik over efterlevelsen af ISO 27001, ISO 27002, NIS2, GDPR og mange andre standarder. Med hundredvis af skabeloner til årshjulsopgaver, kontroller, dokumenter, trusselskatalog, risiko- og hændelsesstyring, Statement of Applicability (SoA) og meget mere, får I hurtigt overblik over hvor langt I allerede er kommet og hjælp til det der mangler.
Med vores GRC værktøj kan du styre din compliance ét sted! Du skal ikke have ét værktøj til ISO 27001, ét til NIS2, ét til GDPR osv., for ofte er det sådan, at sikkerhedsforanstaltninger implementeret ét sted, hjælper med efterlevelsen af flere sikkerhedsstandarder. Vil du læse mere og opleve NorthGRC på egen hånd - helt gratis og uforpligtende, så klik her og udfyld formularen.
