Risikostyring (NIS2)

NIS2 stiller krav om, at væsentlige og vigtige enheder implementerer passende tekniske og organisatoriske foranstaltninger til styring af cybersikkerhedsrisici. Risikostyringen skal baseres på en løbende vurdering og skal stå mål med de risici, organisationen er udsat for.

Tilbage til ordbog

Hvad er risikostyring under NIS2?

Risikostyring er kernen i NIS2-direktivet. Direktivet kræver ikke, at du eliminerer alle risici -- det kræver, at du identificerer, vurderer og håndterer dem på en måde, der er proportionel med din organisations risikoprofil og de potentielle konsekvenser af et angreb.

Tilgangen er risikobaseret: jo større konsekvenser et brud vil have for din organisation og for dem, du leverer tjenester til, desto mere robuste foranstaltninger forventes det, at du implementerer.

NIS2 artikel 21 -- de konkrete krav

NIS2 artikel 21 specificerer de minimumsforanstaltninger, der skal indgå i risikostyringen:

Politikker for risikoanalyse og informationssystemers sikkerhed: Dokumenterede politikker for identifikation, vurdering og behandling af risici.
Hændelseshåndtering: Procedurer for at opdage, analysere, inddæmme og reagere på cybersikkerhedshændelser.
Driftskontinuitet og krisestyring: Backup-procedurer, disaster recovery og krisestyringsplaner.
Leverandørkædesikkerhed: Vurdering og styring af risici fra relationer med direkte leverandører og tjenesteudbydere.
Sikkerhed i forbindelse med erhvervelse, udvikling og vedligeholdelse af net- og informationssystemer: Integrering af sikkerhed gennem hele systemets livscyklus.
Politikker og procedurer til vurdering af effektiviteten af foranstaltningerne: Regelmæssig evaluering af, om implementerede kontroller opnår deres mål.
Grundlæggende cyberhygiejnepraksis og uddannelse: Sikring af medarbejdernes bevidsthed og kompetence inden for cybersikkerhed.
Politikker vedrørende kryptografi og kryptering: Passende brug af kryptografiske kontroller til beskyttelse af data.
Personalesikkerhed, adgangskontrolpolitikker og forvaltning af aktiver: Kontroller for personale, adgangsrettigheder og aktivoversigter.
Multifaktorgodkendelse og sikre kommunikationsløsninger: Brug af stærk autentifikation og krypterede kommunikationsløsninger.

Risikostyring i praksis

En NIS2-kompatibel risikostyringsproces vil typisk inkludere:

Identifikation: Kortlæg aktiver, trusler og sårbarheder på tværs af organisationen.
Vurdering: Analyser sandsynlighed og konsekvens for identificerede risici.
Behandling: Vælg og implementer passende kontroller til at mitigere uacceptable risici.
Overvågning: Løbende opfølgning på risici og kontrollernes effektivitet.
Rapportering: Dokumenter processen og rapporter til ledelsen om risikosituation.

Proportionalitetsprincippet: NIS2 kræver foranstaltninger, der er 'passende og forholdsmæssige' i forhold til risiciene. En lille kommunal it-afdeling skal ikke implementere det samme niveau som en stor bank -- men begge skal have en systematisk tilgang til risikostyring.

Ofte stillede spørgsmål om risikostyring (nis2)

Hvad kræver NIS2 af risikostyring?

NIS2 artikel 21 kræver, at organisationer implementerer passende tekniske og organisatoriske foranstaltninger baseret på en systematisk risikovurdering. Foranstaltningerne skal stå mål med risiciene og inkludere bl.a. hændelseshåndtering, leverandørkædesikkerhed og kryptering.

Er ISO 27001 tilstrækkeligt til NIS2-risikostyring?

ISO 27001 giver et stærkt fundament for NIS2-risikostyring, og der er betydeligt overlap. Men NIS2 stiller specifikke krav til hændelsesrapportering og leverandørkædesikkerhed, som ISO 27001 ikke direkte dækker. En ISO 27001-certificering er et godt udgangspunkt, men er ikke alene tilstrækkeligt.

Hvor ofte skal NIS2-risikovurderinger gennemføres?

NIS2 kræver en løbende, kontinuerlig tilgang til risikostyring. Risikovurderinger bør opdateres regelmæssigt og ved væsentlige ændringer i trusselsbilledet, organisationens systemer eller drift.

Gælder de samme NIS2-krav for alle organisationer?

Nej. NIS2 anvender et proportionalitetsprincip: foranstaltningerne skal stå i forhold til organisationens størrelse, risikoeksponering og den potentielle samfundsmæssige konsekvens af en forstyrrelse. Væsentlige enheder er underlagt strengere tilsynskrav end vigtige enheder.

Hvad sker der, hvis en organisation ikke overholder NIS2's krav til risikostyring?

NIS2 indfører betydelige håndhævelsesbeføjelser, herunder administrative bøder på op til 10 mio. EUR eller 2 % af den globale årlige omsætning for væsentlige enheder. Tilsynsmyndigheder kan også udstede bindende instrukser og foretage inspektioner på stedet.