14 September 2023 Line

NIS2 i Danmark: Lær af de virksomheder, der allerede er i gang

Faren for et GDPR-lignende kaos, når NIS2 rammer Danmark i efteråret 2024, er overhængende. Men det kaos kan man heldigvis undgå, hvis man tilrettelægger sit arbejde med informationssikkerhed efter ISO 27001 standarden, som Københavns Lufthavn har gjort.

Det kræver lidt mere end et knips med fingrene at leve op til de nye NIS2-krav, der inden længe rammer de danske virksomheder. For NIS2-direktivet indeholder ikke blot komplekse krav, teknologiske investeringer og medarbejderuddannelse, men også løbende tilpasning til skiftende trusler. Det er en proces, der kræver engagement og ressourcer, men det er også afgørende for at beskytte virksomhedens digitale aktiver og opfylde juridiske krav. En god strategi til at leve op til det nye direktiv og dets mange krav er at implementere ISO 27001, den internationale standard for informationssikkerhed, der omfatter en omfattende række retningslinjer og bedste praksis for at beskytte virksomheders informationsaktiver.

– ”En ISO 27001-certificering er et oplagt rammeværk for virksomheder, der ønsker at efterleve NIS2-direktivet. Det skaber et solid grundlag for implementering af direktivet da kravene i lovgivningen og standarden er stort set overlappende,” siger Kåre Weng, der er ekspert i ledelsessystemer hos DNV.

Det er nu – ikke i morgen

Flere virksomheder er allerede omfattet af kravene og er derfor foran og organisere allerede deres indsats ISO 27001 standarden. En af dem er Københavns Lufthavn. Som en del af transportbranchen blev lufthavnen allerede i 2018 pålagt at leve op til de krav, der indgik i det første NIS-direktiv og valgte i den forbindelse at implementere ISO 27001, som de i dag er certificeret efter.

– ”Ny lovgivning kan trække tænder ud, hvis man ser det som et vilkår, der bare skal overstås. Vi valgte i stedet at få implementeret et ledelsessystem, fordi det er et ret cool værktøj. Vi benyttede lejligheden til at optimere vores systemer og få etableret dem, vi manglede, så vi sikrede os, at vi er helt up to date. Det er den approach, vi i har taget,” siger Mette Andreasen, IT-compliance manager i Københavns Lufthavn. Certificeringen efter ISO 27001 betyder, at Københavns Lufthavn nu føler sig helt klar til NIS2-direktivet.

– ”Vi står meget skarpere, efter vi har fået implementeret ledelsessystemet og har været processen igennem. Vi er klar til NIS2 og byder det velkommen – for os er det bare mere af alt det gode, vi er i gang med. Det er bare mere af det samme – vi er inde i gamet,” siger Mette Andreasen.

Gør det til en del af hverdagen

Vejen Forsyning er også i fuld gang med at arbejde efter ISO 27001 som følge af kravene i NIS2-direktivet. Virksomheden er certificeret efter ISO 22000 for fødevaresikkerhed og ved derfor allerede en del om ledelsessystemer:

– ”Vi foregriber begivenhederne i forbindelse med NIS2-direktivet, der kommer til at omfatte spildevand og vandforsyninger. For os er det vigtigt, at det bliver en naturlig del af vores hverdag. Derfor giver det god mening at integrere det i vores eksisterende system. Og fordi ISO standernes krav ligner hinanden var det nemt, at lægge ISO 27001 oven i det system vi allerede havde,” siger Helen Brinch Stage, der er projekt- og kvalitetsleder i Vejen Forsyning.

Undgå panikløsninger

Ifølge Kåre Weng er det det vigtigt for danske virksomheder at forberede sig til NIS2-direktivet i god tid. Ikke blot fordi det beskytter dem mod cybertrusler og styrker deres position på markedet, men også fordi det sikrer, at de overholder lovgivningen – og det kan tage tid at få styr på de mange krav, der følger med:

– ”Det kan tage tid at implementere og kræver omhyggelig planlægning og ressourceallokering. Ved at begynde processen i god tid kan man undgå stress og hastværk og har mulighed for at foretage nødvendige justeringer undervejs. Det er bare med at komme i gang,” siger Kåre Weng.

Faktaboks:

Hvad går NIS2-direktivet ud på?

Formålet med er at styrke cybersikkerheden i EU og beskytte kritiske infrastrukturer og digitale tjenester. Direktivet gælder for en bred vifte af organisationer, herunder tjenesteudbydere, leverandører af digitale tjenester, og virksomheder inden for sektorer som energi, transport, sundhed og finans. De omfattede virksomheder skal bl.a. udføre omfattende risikovurderinger for at identificere og håndtere trusler mod deres netværk og informationssystemer. Man bør derfor forberede sig i god tid for at imødekomme kravene.

Læs mere her, hvor du også finder et gratis onlineværktøj, der gør det nemt at komme i gang med ISO 27001.