NIS2 træder i kraft d. 17. oktober 2024, hvilket betyder, at en lang række danske virksomheder næste år bliver omfattet af ny europæisk lovgivning for cyber- og informationssikkerhed. NIS2-direktivet har til formål at øge cybersikkerheden på tværs af medlemslandene.
Er du allerede ISO 27001-ceritficeret, er du godt på vej til at blive NIS2 compliant – har du ikke et ISMS, kan det være en god idé at komme i gang allerede nu, og ISO 27001-standarden kan være et godt sted at starte. Husk i øvrigt, at selvom din organisation ikke er underlagt NIS2, kan du stadig blive påvirket af lovgivningen, fx som leverandør til organisationer der er omfattet af direktivet, og derfor kan det være nødvendigt med compliance.
Ved at forstå samspillet mellem NIS2 og ISO 27001 kan du lettere opnå den krævede compliance, så du kan møde fremtidens krav med sikkerheden i orden.
NIS2 og ISO 27001 – forstå synergien
NIS2 medfører for mange organisationer en ny måde at arbejde med blandt andet risikostyring, rapportering af sikkerhedshændelser, informationsudveksling og tilsyn på, ligesom der stilles krav til politikker for informationssikkerhed og risikoanalyse. ISO 27001 kan hjælpe organisationen med at få det nødvendige overblik, og med en ISO 27001-certificering vil I allerede have opnået compliance på flere af de nye krav i NIS2.
Kort sagt kan man sige, at NIS2 sætter rammerne for, hvad organisationen skal gøre, mens ISO 27001 tilbyder de værktøjer og processer, der er nødvendige for at opfylde kravene. Samtidig giver ISO 27001 organisationer, der ikke er direkte underlagt NIS2, mulighed for at forberede sig på fremtidige krav og forventninger fra kunder og samarbejdspartnere.
Har du allerede en ISO 27001-certificering, er det ikke ensbetydende med, at du er forberedt på alle dele af NIS2 – men du er godt på vej.
Opnå compliance med NIS2-direktivet
Det kan føles som en uoverskuelig opgave at blive NIS2-compliant, men hvis du tager det skridt ad gangen og læner dig op ad ISO 27001, behøver det ikke at være svært.
Først og fremmest skal organisationen have foretaget en modenhedsvurdering for at belyse, hvor organisationen står i øjeblikket, hvad der skal arbejdes med helt fra scratch, og hvor I allerede er godt i gang. Vurdering kan også klarlægge, hvilke ressourcer og kompetencer der er nødvendige for at komme i mål med implementeringen.
Dernæst skal der implementeres et ledelsessystem for cyber- og informationssikkerhed, og det er her, den internationale ISO 27001 bliver højaktuel. Standarden tilbyder en effektiv styringsramme til at få etableret et ISMS for cyber- og informationssikkerhed, ligesom ISO 27001 sætter fokus på ledelsesforankret styring, som også er relevant i NIS2.
Det er vigtigt at holde for øje, at du ikke opnår compliance henover natten. Det er en længere proces, og derfor anbefales det at begynde allerede nu, så du er klar, når direktivet træder i kraft. I den forbindelse er det desuden essentielt at huske, at en af hovedpointerne i NIS2 er, at cybersikkerhed er en foranderlig størrelse, og derfor vil risikolandskabet løbende ændre sig – og dermed skal organisationen også jævnligt gå processer og politikker efter i sømmene for at sikre, at de er relevante.
Udover at have de rigtige værktøjer som sikre høj cyber- og informationssikkerhed, er det sålede også vigtigt at implementere en complianceløsning, der kan hjælpe med den løbende vedligeholdelse og dokumentation af sikkerhedsforanstaltningerne. På den måde kan virksomheden dokumentere compliance med alle NIS2-kravene og sikre, at sikkerhedsforantaltningerne forblive relevante og effektive.
