I Danmark er der lagt op til en minimumimplementering af NIS2-direktivet gennem NIS2-loven fremsat af Ministerium for Samfundssikkerhed og Beredskab. Der er udarbejdet fire generelle vejledninger, der beskriver de centrale begreber og krav i NIS2-loven. Disse er tilgængelige på hjemmesiden for Styrelsen for Samfundssikkerhed.  

Som NIS2-omfattet virksomhed skal du anlægge en risikobaseret tilgang til dit arbejde med cybersikkerhed. IT-Branchen anbefaler, at du sammentænker NIS2-opgaven med virksomhedens øvrige compliancearbejde og kvalitetsledelse samt følger de 8 nedenstående trin, som er udviklet af IT-Branchens Policy Board for Cybersikkerhed.

1. Placer ansvar for implementering af NIS2 det rette sted

• Det overordnede ansvar for en rettidig og hensigtsmæssig implementering af NIS2 og den efterfølgende vedligeholdelse af virksomhedens cybersikkerhedsindsats skal forankres i ledelsesorganet, der også står til ansvar og kan sanktioneres for misligholdelse af NIS2, jf. vejledning til NIS2-loven om ledelsens rolle og opgaver.
  Sørg med andre ord for, at ledelsen forstår vigtigheden og kompleksiteten af NIS2-opgaven og tager ejerskab over den.
  Placer det overordnede ansvar hos en eller flere konkrete personer i topledelsen, så der sikres den rette forankring, prioritering og fremdrift.
• Det operationelle ansvar og ansvaret for konkret implementering af tiltag og sikkerhedsforanstaltninger skal tildeles en afdeling/medarbejdere, der tilføres de nødvendige ressourcer og besidder de rette cybersikkerhedskompetencer til at udføre NIS2-opgaven i praksis, evt. med hjælp fra en ekstern rådgiver (find en liste over kvalificerede rådgivere her).
• Udarbejd en implementeringsplan, der kan brydes ned i konkrete, målbare opgaver, og få klarhed over beslutningsprocesser mellem ledelsesorganet og den teknisk implementeringsansvarlige.
• Etablér en metode/et rammeværk, der sikrer udførlig dokumentation af hele virksomhedens NIS2-implementeringsproces og -efterlevelse, inkl. overblik over digitale aktiver, risikovurderinger, sikkerhedsforanstaltninger, kontrolprocedurer og beredskab mv.

---

2. Identificer virksomhedens samfundskritiske services og leverancer

• Udarbejd en liste over alle de services som virksomheden leverer. Dette bør omfatte alt fra produktudvikling til kundesupport.
• Vurder hvor kritisk hver enkelt service er for samfundet med udgangspunkt i, hvorfor den pågældende sektor i NIS2 er kategoriseret som samfundskritisk. Vurder også eventuelle indirekte konsekvenser, f.eks. for virksomhedens kunder, hvis servicen eller leverancen afbrydes.
• Afklar om andre samfundskritiske services eller infrastrukturer er afhængige af virksomhedens services eller leverancer.

---

3. Identificer dine driftskritiske aktiver som understøtter de kritiske leverancer

• Kortlæg og gennemgå dine driftskritiske aktiver (systemer, hardware, data, infrastruktur) både i virksomhedens IT- og OT-miljø (hvis relevant).

---

4. Udarbejd en risikovurdering af virksomhedens informationsaktiver og net- og informationssystemer

• Identificer potentielle trusler og sårbarheder, der kan påvirke dine driftssikre aktiver. Antag et samfundsperspektiv og overvej hvilke risikofaktorer, der kan kompromittere din virksomheds samfundskritiske funktion og/eller leverance som en del af en samfundskritisk forsyningskæde.
• Forhold dig til interne/eksterne trusler, sandsynlighed og konsekvenser, idet du overvejer ”Confidentiality, Integrity & Availability” af de samfundskritiske data og systemer. Styrelsen for Samfundssikkerhed har udarbejdet et IT-risikovurderingsværktøj, som kan hjælpe dig med at reflektere over din virksomheds IT-setup samt hvilke risici, der er forbundet hermed.
• Brug risikovurderingen til prioritering af mitigerende tiltag.
• Foretag en vurdering af virksomhedens risikoappetit og sæt mål og grænser for et acceptabelt risikoniveau.

---

5. Lav en gap-analyse på dine sikkerhedspolitikker og –procedurer

• Lav en modenhedsvurdering, der belyser virksomhedens aktuelle cybersikkerhedsniveau, inkl. tilgængelige ressourcer og kompetencer.
• Kortlæg dine sikkerhedspolitikker og -procedurer, fortegnelser og eventuelle sikkerhedscertificeringer. Skab et overblik over eksisterende compliancedokumentation.
• Lav en gap-analyse mod NIS2.
• Udarbejd politikker og procedurer for arbejdet med NIS2, inkl. et årshjul for evaluering/audit, test, vedligeholdelse og kontrol (husk inddragelse og rapportering til ledelsen).

---

6. Leverandørsikkerhed og leverandørstyring/-tilsyn

• Kortlæg kritiske leverandører og tjenesteudbydere til din virksomhed og sørg for at kunne dokumentere de aftaler, du har indgået med dem.
• Lav risikovurderinger og gennemgå de kontraktuelle krav vedr. net- og informationssikkerhed.
• Revidér og genforhandl kontrakter, der ikke lever op til sikkerhedskravene omkring sikkerhedsforanstaltninger og rapportering. Styrelsen for Samfundssikkerhed har udarbejdet et dialogværktøj, der kan hjælpe dig med at afdække, om dine leverandører har tilstrækkelig fokus på sikkerhed. Download det her.  
• Implementer og dokumenter de rette foranstaltninger til sikring af forsyningskædesikkerhed, jf. vejledning til NIS2-loven om implementering af sikkerhedsforanstaltninger (kapitel 4. Forsyningskædesikkerhed).
  
  Start med en forudgående dialog med virksomhedens kritiske leverandører.
• Lav en plan for tilsyn med forsyningskædesikkerheden og integrér denne i årshjulet.

---

7. Risikostyring og implementering af sikkerhedsforanstaltninger

• Lav en plan for implementering og vedligeholdelse af påkrævede sikkerhedsforanstaltninger, jf. vejledning til NIS2-loven om implementering af sikkerhedsforanstaltninger.
• Hav foruden (tekniske) foranstaltninger til effektiv risikostyring også fokus på uddannelse og træning (også af ledelsen), så der skabes en cybersikkerhedskultur i virksomheden samt fokus på hændelseshåndtering og –rapportering, jf. vejledning til NIS2-loven om ledelsens rolle og ansvar samt vejledning til NIS2-loven om hændelsesunderretning.
  
  Til inspiration (og til en start) har Styrelsen for Samfundssikkerhed udarbejdet en pakke med medarbejderawarenessmateriale samt materiale målrettet bestyrelse og ledelse, som kan downloades her.

---

8. Drift og governance

• Husk løbende og opdateret dokumentation af risikovurderinger, politikker og procedurer for risikostyring, vurdering af effektiviteten af foranstaltninger, kontrol-setup mv.
• Husk årshjulet (den cirkulære proces), så momentum og complianceniveau fastholdes gennem klart definerede og placerede/forankrede opgaver.
• Forhold dig altid proaktivt til det aktuelle trusselsbillede!

---

For at sikre en samordnet implementering af sikkerhedsforanstaltninger på tværs at medlemsstaterne, tilskynder Artikel 25 i NIS2-direktivet til, at direkte omfattede virksomhederne benytter ”europæiske og internationale standarder og tekniske specifikationer, der er relevante for sikkerheden i net- og informationssystemer, uden at de påtvinger eller forskelsbehandler til fordel for anvendelse af en bestemt type teknologi“. F.eks. kan sikkerhedsstandarden ISO 27001 benyttes som et konkret værktøj til at hjælpe virksomheder med at leve op til de anførte minimumsforanstaltninger i NIS2.

I Danmark kan mærkningsordningen D-mærket hjælpe dig i gang med NIS2-arbejdet. D-mærket har udarbejdet et gratis selvevalueringsværktøj, hvor du kan få et struktureret overblik over, hvor din virksomheder står ift. NIS2-kravene, og hvor du bør sætte ind.

Har du spørgsmål?

Kontakt Troels Johansen, som er ansvarlig for IT-Branchens policy board for cybersikkerhed, for yderligere information om NIS2.