Jeg er overbevist om at direktivet vil sikre et andet fokus på informationssikkerhed

Diana på konferencen NIS2 om ISO 27001

På den nye konference NIS2 den 13. april holder Diana Görlitz, lead auditor i DNV Business Assurance Denmark et spændende indlæg i samarbejde med Mette Andreasen, IT compliance manager i Københavns Lufthavne. I indlægget vil de komme ind på, hvordan ISO 27001 kan hjælpe organisationer med at blive NIS2 compliant.

Inden konferencen kan du læse et spændende interview med Diana her.

Hvad er din baggrund og hvad bliver din rolle i forhold til NIS2?

Jeg er informationssikkerheds auditor, og har arbejdet med informationssikkerhed i både det private, det offentlige og som konsulent i begge sektorer.

Det er et krav, at virksomheder, der gerne vil have et ISO-certifikat, overholder gældende lovgivning. De skal både forholde sig til, hvad der kommer af lovgivning, hvordan den er relevant for dem, og hvordan den skal implementeres i deres forretningsgange. Som auditor har jeg startet en dialog med alle de kunder, jeg har besøgt siden starten af 2021 om, hvordan de overholder NIS2.

Hvad ser du som de største udfordringer og muligheder i forbindelse med implementering og tilsyn af NIS2?

På baggrund af dialog med Kommunernes Landsforening kan jeg være bekymret for en sektor specifik implementering som vil betyde at nogle organisationer kan ende med at skulle leve op til forskellige dokumentationskrav for henholdsvis sundhed, spildevanshåndtering og så videre, for at dokumentere overensstemmelse med direktivet.

Herudover kan jeg være bekymret for hvor mange forskellige tilsynsenheder det offentlige skal oprette. Med den mangel der er på informationssikkerhedsfolk, ser jeg hellere, at de fleste er derude, hvor NIS-kravene skal imødekommes, end at de skal være kontrollanter. Ved implementering af det oprindelige NIS-direktiv er der flere sektorer, som har valgt at bruge en ISO 27001 certificering som dokumentation for overensstemmelse. Artikel 20 i NIS2 opfordrer til at landende bruger eksisterende rammeværk og standarder: altså igen en mulighed for at bruge et eksisterende system fremfor at opfinde noget nyt. Det vil give rigtig god mening at kigge på ISO 27001 som et krav for den løbende dokumentation for overensstemmelse netop fordi lovmedholdelighed er et bærende punkt i standarden. Så kan CFCS og CIS’erne fokusere på hændelser og opsamling på risici.

Hvordan arbejder I med direktivet i forhold til at forberede jer og implementere direktivet i jeres virksomhed?

Vi arbejder meget på at oversætte kravene fra NIS2 til de konkrete implementeringsvejledninger i ISO 27002. Al den hjælp der ligger i standarderne forsøger vi at kommunikere via digitale platforme både til vores kunder og andre, fordi det er en kompleks opgave at sikre overholdelsen i de virksomheder, der ikke tidligere har skullet møde disse krav. Det har jeg skrevet en lille artikel om her.

Hvilken effekt tror du NIS2 vil have på det generelle Cybersikkerheds-niveau i Danmark?

Jeg er overbevist om at den konkrete ansvarsplacering ved ledelsen som ligger i direktivet vil sikre, at der kommer et andet fokus på informationssikkerhed i den kommende tid. Fokus vil dermed helt automatisk også hæve det generelle bundniveau, og det ser jeg som noget meget positivt.

I forlængelse af det, er det mit håb, at man i den danske lovimplementering vil omfatte kommunerne, da det jo i allerhøjeste grad er dem, som har mange af de allermest følsomme informationer om os borgere. Vi har også i en del sager set, at kommunerne har et efterslæb i forhold til at opretholde et passende sikkerhedsniveau.

Er der et særligt område under NIS2 du finder særligt relevant?

Jeg finder det superrelevant at NIS 2 defacto bruger de primære elementer fra ISO-ledelsessystemerne: At ledelsen er ultimativt ansvarlig, at ledelsen skal sikre en politik, som danner en ramme om arbejdet og definere et minimumsniveau, at der skal risikovurderes, og at der skal evalueres om de tiltag, der er iværksat, er tilstrækkelige og effektive. Det, at man fra politisk hold, læner sig op ad den indsamlede erfaring og viden som standarderne er et udtryk for, synes jeg er meget positivt.

Hvad taler du om på konferencen NIS2, og hvad håber du, deltagerne får ud af det? 

Jeg har inviteret min kunde Københavns Lufthavne A/S med, fordi jeg tror, at flere deltagere gerne vil høre hvordan en stor organisation har gjort i praksis. Jeg kommer kort til at tale om, hvordan man kan bruge standarden som lovimplementeringsguide, mens Mette Andreasen fra Københavns Lufthavne A/S vil fortælle om, hvad de har gjort, og hvad de har fået ud af det.

Vil du gerne høre mere fra Diana og NIS2?

Hvordan kan ISO 27001 hjælpe organisationer med at blive NIS2 compliant? På konferencen NIS2 den 13. april kan du høre et spændende indlæg med Diana og Mette om ISO 27001, og hvordan Københavns Lufthavne har implementeret standarden. Læs mere om konferencen og tilmeld dig her.