Mens mange virksomheder og it-leverandører stadig kæmper med at omsætte NIS2-kravene til konkret handling, er de første spørgeskemaer fra Digitaliseringsstyrelsen begyndt at dukke op hos danske datacentre.
Formålet med Digitaliseringsstyrelsens skema er at give et aktuelt billede af, hvordan datacentrene arbejder med cybersikkerhed under NIS2-direktivet, og dækker fem hovedområder.
- Risikostyring – Her bliver virksomhederne bedt om at beskrive deres risikoprofil herunder vurdering af trusler, ledelsesinvolvering og standarder som f.eks. ISO 27001.
- Fysisk og organisatorisk sikkerhed – Redegøre for fysisk og organisatorisk sikkerhed, herunder forsyninger, adgangskontrol, redundans, nødstrøm og håndtering af kritiske roller.
- Cybersikkerhed – Forklare informations- og cybersikkerhed, bl.a. ændringer i trusselsbilledet, overvågning, sårbarhedsstyring og hændelseshåndtering.
- Driftskontinuitet – Dokumentere driftskontinuitet, test og genopretning (MAO, RTO, RPO, BC/DR-tests og leverandørers rolle).
- Kritikalitet og afhængigheder – Belyse tjenesternes kritikalitet og afhængigheder på tværs af sektorer, kunder, geografi og samfundskonsekvenser ved udfald.
Selvom spørgeskemaet er henvendt specifikt til datacentre, giver det måske et meget godt fingerpeg om, hvad man kan forvente, virksomhederne skal leve op til på tværs af sektorer.
Så det kan godt betale sig, at orientere sig om, hvad der sker i andre sektorer omkring NIS2.
”Vi har fået en NIS2-spiseseddel, men skal selv kreere retterne”
En af de sektorer, der har arbejdet længe med NIS2 og er mest modne på området, er forsyningsvirksomhederne – især inden for fjernvarme.
En modenhed der ifølge Henrik Lund Pors, GDPR og NIS2-ansvarlig i Softværket, især skyldes et tidligt og tæt samarbejde mellem brancheorganisationer, virksomheder og Energistyrelsen, som tidligt har arrangeret møder, leveret vejledning og værktøjer, så sektoren havde et fælles udgangspunkt for NIS2-arbejdet.
Den hjælp har været helt afgørende for, at sektoren som helhed er godt forberedt.
Alligevel opstår de samme spørgsmål igen og igen: Hvordan sikrer vi en god risikovurdering? Hvordan får vi vores beredskabsplaner til at spille sammen på tværs af leverandører? Og hvornår dukker tilsynsmyndighederne egentlig op med deres tilsyn?
”Man kan sige, at vi med NIS2-kravene har fået en omfattende spiseseddel, men at det stadig er os selv, der skal kreere de forskellige retter. For mange handler udfordringen derfor ikke om vilje, men om oversættelsen fra “spisesedlen” til ”spiseligt måltid”. Eller med andre ord: Virksomhederne ved altså godt, hvad de skal leve op til – men ikke altid hvordan,” siger Henrik Lund Pors.
Her spiller standardisering en afgørende rolle. Her peger Henrik på, at Softværkets tilgang overfor deres forsyningskunder er at skabe standard kontrakter og aftaler, som alle kunder har kunnet bygge videre på. Og det har været en succes.
Risiko, beredskab og realistisk compliance
Henrik oplever, at de fleste forsyningsvirksomheder går relativt systematisk til værks. De begynder typisk med en risikoanalyse af sårbarheder og definerer, hvad der absolut skal op at køre igen efter f.eks. en time, 24 timer eller 72 timer.
Derefter udarbejdes beredskabsplanerne, som beskriver både tolereret nedetid og de konkrete skridt til genopretning.
”Som it-leverandør er det især vigtigt, at man holder sine egne beredskabsplaner op mod kundens og får dem til at spille sammen. Og så skal man teste, teste og teste. For der, hvor du taber mest på gulvet, er, hvis du ikke har øvet det. Spørgsmålet er nemlig ikke, om du bliver ramt, men hvornår,” udtaler Henrik Lund Pors.
Han understreger, at det sjældent bliver 100 procent perfekt. Målet er derfor at gøre det “godt nok” på et dokumenteret grundlag og så arbejde videre derfra, så man kan stå på mål for sine valg over for en tilsynsmyndighed.
It‑leverandørernes særlige blinde vinkel
Mange it‑leverandører ser sig ikke selv som NIS2‑omfattede, men opdager for sent, at de alligevel er det – enten direkte eller fordi de leverer hosting eller tjenester til kritisk infrastruktur, og derfor er forpligtet via kontrakter.
Henriks første budskab er derfor enkelt: Find ud af, om I – direkte eller afledt af kunder – skal leve op til NIS2.
Dernæst bør man sætte sig ind i de konkrete sektorkrav og sikre, at man kan understøtte dem teknisk, organisatorisk og kontraktuelt. Her kan erfaringerne fra GDPR‑arbejdet genbruges, da risikoprofiler, beredskabsplaner og ”security by design” er velkendte øvelser for mange.
Samtidig skal kravene fra kunderne føres videre i leverandørkæden. Hvis du skal rapportere til kunden inden for 24 timer, nytter det f.eks. ikke, at din underleverandør først kan levere efter 72.
Det kræver overblik over egne kritiske systemer, realistiske og testede beredskabsplaner samt en leverandørkæde, hvor underleverandører kan levere lige så hurtigt og sikkert, som dine kunder forventer af dig.
”Vær proaktiv over for kunderne. For de kan ikke nødvendigvis selv overskue kravene – men de vil forvente, at deres it‑leverandør kan. Sæt jer ind i reglerne, kend jeres kunders behov, og byg jeres beredskab, risikovurderinger og systemprioriteringer før tilsynet står i døren,” slutter Henrik Lund Pors.
Hvis du vil vide mere
IT-Branchen har oprettet et større NIS2-univers, hvor du kan blive klogere på, hvad NIS2 går ud på, hvilke krav man skal leve op til – og ikke mindst hvem af vores medlemmer, der står parat til at hjælpe med implementeringen af NIS2-direktivet.
Hvis du er nysgerrig på, hvad Digitaliseringsstyrelsen har spurgt data centrene om, kan du se deres spørgeskema her.
Har du interesse i vores politiske aktiviteter indenfor cybersikkerhed og regulatoriske rammer, kan du læse mere om vores arbejde på disse fronter via vores policy board for cybersikkerhed og policy board for regulatoriske rammer.
Vi afholder også løbende events og webinarer omkring NIS2, så hold dig opdateret omkring disse på vores eventside.
1 svar
Det er desværre endnu en gang et område, hvor man ikke har været alt for konkrete, som det beskrives herover og derfor har mange svært ved at kende sin plads i det.
Det lidt på samme måde som da GDPR blev indført.
Når det så er sagt er der ogle der pr. automatik er bedre forberedte, nemlig de, der har implementeret ISO 27001 som framework for deres informationssikkerhed.
Her er tingene mere overkommelige, idet kontrollerne grundlæggende dækker en meget stor del af NIS2 og hvis man har valgt at tage NIS2 med ind i sine kundekrav betyder det at man også bliver auditeret i NIS2 ved sin ISO 27001 auditering.
Derfor kan en måde at komme ind i eller omkring det med at kunne opfylde kravene være en ISO 27001 certificering. Det vil gøre det meget lettere, også når både DORA, CRA og AI act er på banen.
Størstedelen af disse læner sig op af ISO 27001 framework og man kan gennem denne arbejde sig ind på en række af områderne.
Der er allerede nu mange konsulentvirksomheder ude og tale om at lave erklæringer med videre på NIS2. Disse er sikkert gode og på mange måder dækkende.