NIS2 kræver, at både ledelsen og medarbejderne i de omfattede organisationer får den rette uddannelse inden for cybersikkerhed.
Denne artikel gennemgår uddannelseskravene i NIS2, og herunder hvem der skal uddannes, hvad uddannelsen skal indeholde, samt tips til at komme i gang.
Du kan læse vores introduktion til NIS2, hvis du ønsker et overblik over direktivet.
Uddannelse er et Ledelsesansvar
NIS2 lægger et særligt ansvar på ledelsens inddragelse i styringen af organisationens cybersikkerhedsindsats, og derfor er det både en god idé og et krav, at medlemmerne af ledelsen skal have den nødvendige viden, hvilket kan komme ved deltagelse i relevante kurser om cybersikkerhed. Med dette sikres, at ledelsen har en stærkere faglig ballast til at styre disse risici.
Samtidig stiller NIS2 krav om, at foranstaltningerne omfatter grundlæggende cyberhygiejnepraksisser og cybersikkerhedsuddannelse, hvilket medarbejderne derfor skal uddannes i.
Dette krav skal efterleves løbende, hvilket betyder, at man ikke bare kan bede de relevante medarbejdere om at tage et enkeltstående kursus. Man skal i stedet sikre sig, at alle i organisationen har færdigheder inden for 'grundlæggende cyberhygiejnepraksisser'. Derfor bør organisationen etablere en plan for, hvordan viden og adfærd udvikles og vedligeholdes over tid.
Der er altså både et NIS2-krav om uddannelse til lederne, samt organisationen som helhed, og at alle har den nødvendige viden og praksis inden for cybersikkerhed til at varetage deres roller.
Hvad Skal Ledelsens Uddannelse Indeholde?
For at leve op til NIS2 skal ledelsen have tilstrækkelig viden om cybersikkerhed, så de kan træffe kvalificerede beslutninger herom. NIS2 kræver derfor, at medlemmerne af ledelsen tilegner sig viden og kompetencer, fx via relevante kurser om styring af cybersikkerhedsrisici. Der er ikke rigide krav til hvordan dette skal efterleves. Det vigtige er, at ledelsen som helhed får kompetencerne til at forstå cybersikkerhedstruslerne, samt vurdere organisationens risici og træffe kvalificerede beslutninger om emnet.
Det ville fx være passende at ledelsen uddannes i generelle kurser om IT-sikkerhed, risikostyring, relevante lovkrav på IT-området, samt relevante IT-sikkerhedsstandarder.
Eksempler på Relevant Uddannelse for Ledelsen
- Generelle kurser i cyber- og informationssikkerhed – Introduktion til cybersikkerhedslandskabet og trusselsbilleder
- Målrettede toplederkurser – Strategisk cybersikkerhedsledelse for direktører og bestyrelsesmedlemmer
- Workshops om governance og strategi – Fokus på organisationens specifikke behov og sektor
- Certificeringskurser – Fx ISO 27001 eller andre informationssikkerhedsstandarder
- Interne kurser – Undervisning der tager udgangspunkt i ledelsens konkrete organisation og sektor
NIS2 fastlægger ikke detaljerede krav til form og indhold af uddannelsen, men det er vigtigt, at uddannelsen ses i lyset af NIS2, som omhandler cybersikkerhed i den kritiske infrastruktur, samt i lyset af de ledelseskrav NIS2 stiller ift. governance.
Hvad Skal Medarbejdernes Uddannelse Indeholde?
Det er medarbejderne, der til dagligt arbejder med systemer, data og kommunikation, og som derfor også er de vigtigste i organisationens daglige cybersikkerhedsindsats. NIS2 understreger derfor også, at cybersikkerhed handler om adfærd og kompetencer hos den enkelte medarbejder.
Ledelsen skal tilskynde til, at medarbejderne modtager tilsvarende træning, dvs. at medarbejderne også modtager uddannelse, der tilsvarer deres rolle i organisationen, hvilket derfor kan være forskelligt fra ledelsens uddannelse.
Awareness Træning for Alle Medarbejdere
Du kan eksempelvis uddanne medarbejderne med awareness træning, som alle medarbejdere gennemfører, og som lægger et fundament for medarbejdernes bevidsthed og viden om cybersikkerhed. Det kan ske ved et e-læringsforløb, der forklarer de mest almindelige trusler som phishing og andre social engineering angreb, adgangskodesikkerhed, informationsdeling og fysisk sikkerhed.
Træningen skal være forståelig og relevant for alle med ansvar for leveringen af den kritiske ydelse til slutbrugeren. Det kan være driftspersonalet, der har direkte adgang til produktionsfaciliteterne, eller administrativt personale med adgang til centrale systemer, samt enhver med adgang til organisationens faciliteter.
Målrettet Uddannelse for Kritisk Personale
Du bør sikre, at personale med særligt ansvar for den leverede tjeneste, fx driftspersonalet eller IT, modtager uddannelse der stemmer overens med risikovurderingen. Det kritiske personale bør derfor have målrettet uddannelse, da deres arbejde medfører en større risiko for leveringen af tjenesten.
Den målrettede uddannelse kan også foregå som e-læringsforløb med specialiserede kurser, eller med interne workshops om emnerne eller via deltagelse i eksterne uddannelsesforløb. Det vigtigste er, at man løbende får uddannet medarbejderne, så de hver især kan håndtere de risici, som organisationen og sektoren står overfor.
| Medarbejdergruppe |
Uddannelsesbehov |
Eksempler |
| Ledelse |
Strategisk cybersikkerhed, governance, risikostyring |
Toplederkurser, ISO 27001, workshops |
| Alle medarbejdere |
Grundlæggende cyberhygiejne, phishing, adgangskoder |
Awareness træning, e-læring |
| IT-personale |
Teknisk cybersikkerhed, incident response, netværkssikkerhed |
Certificeringer, tekniske kurser |
| Driftspersonale |
Operationel sikkerhed, fysisk sikkerhed, procedurer |
Målrettede workshops, on-the-job træning |
| HR & Administration |
Databeskyttelse, fortrolig information, social engineering |
GDPR kurser, awareness træning |
Dokumentation af Uddannelse
Uddannelsen skal dokumenteres fx med et kursusbevis eller en skriftlig bekræftelse på deltagelse, så den kan gives til myndighederne ved et tilsyn.
Hvis du vælger at afholde egne uddannelsesforløb, fx kurser, så kan du lave en deltagerliste, beskrive læringsmålene og kursusindholdet samt gemme uddannelsesmaterialet. Det behøver ikke være kompliceret.
Hvad Skal Dokumenteres?
- ✓ Deltagerlister – Hvem har gennemført hvilke kurser
- ✓ Kursusindhold – Hvad blev undervist i
- ✓ Læringsmål – Hvad skulle deltagerne lære
- ✓ Kursusbeviser – Dokumentation for gennemført uddannelse
- ✓ Uddannelsesmateriale – Slides, manualer, e-læring
- ✓ Evalueringer – Tests eller vurderinger af læring
Brug informationssikkerhedssoftware til at holde styr på dokumentationen og sikre, at alle medarbejdere er opdateret med deres træning.
Uddannelsespolitik: Struktureret Tilgang til NIS2 Krav
NIS2's krav til organisationens uddannelse i cybersikkerhed er betydelige, og derfor er det også en god idé at antage en struktureret tilgang til kravet ved at lave en uddannelsespolitik eller -plan.
Din uddannelsespolitik kan beskrive de forskellige medarbejdergrupper og deres opgaver. Dette kan du bruge til at give målrettet uddannelse, så opgaver der indebærer større risici modtager målrettet træning.
Hvad Skal en Uddannelsespolitik Indeholde?
- Formål og scope – Hvorfor uddanner vi, og hvem omfatter det?
- Roller og ansvar – Hvem er ansvarlig for hvad i uddannelsesarbejdet?
- Uddannelsesbehov pr. rolle – Hvilke kompetencer kræves i forskellige stillinger?
- Uddannelsesindhold – Hvilke emner skal dækkes?
- Hyppighed – Hvor ofte skal uddannelse gentages?
- Leveringsmetode – E-læring, workshops, eksterne kurser?
- Dokumentation og opfølgning – Hvordan dokumenteres og evalueres uddannelsen?
- Opdatering – Hvordan holdes politikken ajour med nye trusler?
Du bør angive formålet med træningen for hver medarbejdergruppe, og herefter tilrettelægge deres uddannelse i overensstemmelse hermed fx indhold, hyppighed, tests, dokumentation.
Uddannelsespolitikken behøver ikke at være lang, og skal blot bruges som en operationel hjælp til uddannelsesarbejdet, og så fungerer den også som dokumentation.
Manglende Efterlevelse af Uddannelseskravet i NIS2
Hvis din organisation ikke lever op til uddannelseskravene i NIS2, så kan det få konsekvenser for ledelsen, som kan sanktioneres, og derudover kan organisationen få en bøde.
NIS2 indebærer personligt ledelsesansvar, hvilket betyder at medlemmer af bestyrelsen eller direktion kan blive personligt ansvarlige ved grove forsømmelser, herunder manglende uddannelse i cybersikkerhed.
Bøder for manglende compliance kan være betydelige:
- Væsentlige enheder: Op til €10 millioner eller 2% af global årlig omsætning
- Vigtige enheder: Op til €7 millioner eller 1,4% af global årlig omsætning
Ud over økonomiske sanktioner kan manglende uddannelse også svække organisationens faktiske cybersikkerhed og øge risikoen for sikkerhedshændelser.
Tag Handling: Kom i Gang med NIS2 Uddannelse
NIS2 stiller uddannelseskrav til både ledelse og medarbejdere. Her er en praktisk tilgang til at komme i gang:
Trin 1: Vurder Nuværende Kompetencer
- Kortlæg eksisterende viden om cybersikkerhed i organisationen
- Identificér kompetencegaps i forhold til NIS2 krav
- Prioritér hvilke områder der kræver mest akut uddannelse
Trin 2: Udvikl Uddannelsespolitik
- Definer roller og deres uddannelsesbehov
- Fastlæg hyppighed og leveringsmetoder
- Etablér dokumentationsprocedurer
Trin 3: Implementer Uddannelse
- Start med ledelsens uddannelse – det sender et vigtigt signal
- Udbred awareness træning til alle medarbejdere
- Tilbyd målrettet uddannelse til kritisk personale
Trin 4: Dokumentér og Evaluer
- Hold styr på hvem der har gennemført hvilke kurser
- Evaluer effekten af uddannelsen
- Opdater og juster løbende baseret på ny viden og trusler
Tilrettelæg organisationens uddannelse, så det matcher roller og behov, og beskriv alt dette i en uddannelsespolitik. Det vil gøre det nemmere at træffe beslutning om, hvordan uddannelseskravet løbende efterleves, samt justere uddannelsesindsatsen efter behov.
Hos .legal kan vi hjælpe dig med at strukturere din NIS2 compliance, herunder håndtering af uddannelseskrav og dokumentation. Se hvordan vores Frameworks modul understøtter NIS2 compliance eller book en demo.
Ofte stillede spørgsmål om NIS2 uddannelse
.jpeg)
.jpg)
.jpg)
.jpg)
.png)
.jpeg)
.jpg)
