NIS2 er ikke en papirtiger

Det er sund fornuft, og derfor skal du gå i gang nu

I snart lang tid har der været en kæmpe bevågenhed om det kommende NIS2-direktiv. Hvad går NIS2 ud på? Hvornår træder NIS2 i kraft? Hvem er omfattet? Hvor store er bøderne, hvis ikke man lever op til kravene?

Senest holdt jeg et indlæg på V2 Security i Øksnehallen om NIS2. På konferencen fik jeg bekræftet mit indtryk fra tidligere gange, jeg har talt med virksomheder om NIS2 – nemlig at rigtig mange virksomheder lige for tiden oplever samme slags frustration som ved GDPR.

Men hvor GDPR ’kun’ handlede om data, handler NIS2 om at sikre driften af virksomhedens kerneydelser. Det er mange gange mere komplekst og vidtrækkende.

Og derfor sidder mange af de virksomheder der bliver ramt af NIS2, forståeligt nok, og håber og venter på, at der kommer nogle guidelines og en køreplan. Underforstået, så man hurtigst muligt kan få det hele overstået og komme tilbage til arbejdet.

Men NIS2 er ikke en administrativ papirtiger fra EU, der bare skal fodres med en række flueben og nogle håndfulde dokumentation. NIS2 handler om sund fornuft og om at få styr på driften af virksomhedens kerneydelser.

Derfor er min opfordring, at du skal gå i gang nu. Hvorfor? Det vil jeg gerne uddybe nedenfor.

NIS2 er ikke rapportering for rapporteringens skyld

I stedet for at afvente flere overordnede retningslinjer om selve NIS2-direktivet er mit råd, at I skal gå i gang. Nu. Det gør I ved at blive konkrete og forholde jer til, hvordan I håndterer de ting, NIS2 omhandler. Meget af det er nemlig ting, virksomheden SKAL have styr på – NIS2 eller ej.

Et af kravene i NIS2 omfatter eksempelvis håndtering af hændelser. Inden for 24 timer skal man kunne indgive en foreløbig hændelsesstatus, indenfor 72 timer skal man kunne give en mere detaljeret hændelsesrapportering, og senest efter 30 dage skal man aflevere en komplet hændelsesrapportering. Er din organisation klædt på til det i dag?

Du kan jo vælge at se på kravet med lidt opgivende papirtiger-øjne, ryste på hovedet og sukkende konstatere, at nu får du og dine folk endnu mere administrativ rapportering, ovenikøbet under tidspres, og hvad gør al den rapportering i øvrigt godt for?

Eller du kan vælge at se på NIS2 som sund fornuft. Spørge dig selv, om det mon ikke giver mening, at når der sker en hændelse, så er I rent faktisk i stand til at håndtere hændelsen – finde ud af, hvad der er sket, hvad I gjorde for at løse problemet, og hvad I har gjort for at forhindre, at det sker igen?

Mange virksomheder ikke er i stand til at rapportere ved en hændelse – fordi de ikke ved, hvad der er sket. Med NIS2 kommer der nu en instans, der ånder dem i nakken, så de får styr på tingene.

NIS2 kan blive din bedste ven

Når en virksomhed bliver ramt af en hændelse, forventes det, at du som it-chef, CIO eller tilsvarende kan rapportere til ledelsen. Du vil bl.a. skulle rapportere på, hvilke tiltag der er foretaget, og hvilke tiltag der ikke er foretaget, typisk fordi de er blevet fravalgt tidligere.

Det er dig, der i det daglige har hånden på kogepladen – og dermed bliver det som regel også dig, der får røven i klaskehøjde. NIS2 kan blive din bedste ven og løftestang til at løfte ansvaret fra it-afdelingen til ledelsen og få ledelsesmæssig bevågenhed.

Efterlevelse af NIS2 er et ledelsesmæssigt ansvar. Det betyder bl.a., at ledelsen eller direktøren for et område skal inddrages i at træffe beslutning om, om der skal bruges penge på at fjerne eller reducere en risiko og dermed forstå risikoen, fx hvis man vælger eller fravælger nogle tiltag.

Undgå falsk tryghed – hav styr på jeres kompetencer

Det er min erfaring, at efterlevelse af NIS2 meget nemt kommer til at have fokus på it og systemer.

NIS2 spænder bredt. Sikring af en virksomheds it-drift mapper ind i rigtig mange ting – du skal ikke kun have it-systemerne, der kan understøtte driften, men også de rette kompetencer og procedurer (og mange flere ting). Ellers bliver det rigtig svært.

Har I ikke de rette kompetencer, risikerer I at stå med falsk tryghed. Og kompetencer – det er samtidig et ømt punkt for mange it-afdelinger, det ligger vandret for at nå de daglige opgaver og i øvrigt kæmper om medarbejderkompetencer i et ophedet jobmarked.

NIS2 betyder flere opgaver på dit bord

Uanset hvor meget NIS2 handler om sund fornuft, så kan vi ikke løbe fra, at NIS2 medfører flere opgaver – både de gode it-discipliner som beskrevet ovenfor og selve det administrative. En løsning kan være at købe sig til ekstra hænder og fødder ude i byen, i en overgangsperiode eller mere permanent.

Ekstern assistance fra nogen, der allerede har erfaring med NIS2, kan være en klog genvej til at komme i gang. Managed Services fra Wingmen kan løfte mange af de nye opgaver der følger i kølvandet på NIS2, væk fra jeres bord – både de trivielle og de mere komplekse opgaver.
Det vil jeg gerne fortælle mere om – du er velkommen til at give mig et ring eller sende en mail.

Det værste, du kan gøre lige nu, er at sidde og vente. NIS2 eller ej – så har I stadig interesse i at kunne håndtere hændelser og foretage alle andre foranstaltninger for at sikre drift af virksomhedens kerneydelser.

Gå på opdagelse i vbores blogunivers og lad sig inspirere

AI og kundeservice. 4 trends i 2024 der vil forandre din hverdag

AI i kundeservice

4 trends der vil forandre din hverdag i 2024

Udforsk den revolutionerende verden af Generativ AI, der transformerer arbejdsmetoder og kundeservice. Opdag potentialet for at løse kritiske udfordringer inden for kundeservice og få indblik i, hvordan AI kan inspirere forbedringer på konkrete områder. Men er potentialet større end truslerne? Scan QR-koden for at se, hvordan et forsikringsselskab automatiserer kundeserviceelementer og giver dig et glimt af fremtidens interaktion med AI.

Jesper Gettermann 12. december 2023

Cloud monitoring for catalyst - catraki

meraki

Catraki – Sådan gør du din Catalyst-switch Meraki-monitored

Meraki og Catalyst Nyhed: Vores egen Tech Lead, Thomas Obbekær Thomsen, guider dig i, hvordan du gør din Catalyst-switch Meraki-monitored. Læs guiden her.

Thomas Obbekær Thomsen 10. november 2023

catalyst switch Meraki-managed dashboard

meraki

Catraki – Sådan gør du din Catalyst-switch Meraki-managed

Meraki og Catalyst Nyhed: Vores egen Tech Lead, Thomas Obbekær Thomsen, guider dig i, hvordan du gør din Catalyst-switch Meraki-managed. Læs guiden her.

Thomas Obbekær Thomsen 26. oktober 2023

Indlæs flere artikler

Der findes ikke flere artikler i arkivet

SENIOR SECURITY ADVISOR, SECURITY

Kenneth Thorsted

Med 20 års erfaring inden for netværks- og sikkerhedsteknik, arkitektur og rådgivning hjælper jeg organisationer med at tackle fremtidens sikkerhedsudfordringer.

Kontakt din wingman eller wingwoman