NIS 2-implementering
Lad Unitas guide dig trygt igennem jeres NIS 2-implementering, så den matcher jeres behov
NIS 2-implementering der matcher jeres behov
Er det et fly? Er det en raket? Er det et rumskib? Nej, det er såmænd bare NIS 2, og det behøver ikke være så voldsomt og kompliceret, hvis det bliver grebet rigtigt an fra en start.
Unitas har erfaring og kompetencer til at sikre en NIS 2-implementering, der matcher jeres behov ift. de krav, som reglerne, jeres kunder og I selv stiller.
Det vigtigste er at kende de eksakte krav, der rammer lige netop jer, og her er branche en væsentlig faktor. Vi hjælper jer med at forstå kravene, hvordan I skal forholde jer, og hvordan krav bliver omsat til reel efterlevelse gennem en pragmatisk implementering.
Når implementeringen har fundet sted, kan vi naturligvis tilbyde at drifte jeres NIS 2 efterfølgende, hvis I ikke ønsker at stå med den byrde selv – og fordi din tid er bedre givet ud på at udvikle og drive din kerneforretning.
Dyk ned i de følgende afsnit og få umiddelbart afdækket om I er omfattet af NIS 2, processen for implementering og besøg beregneren, for at få en vejledende indikation omkring økonomi forbundet med implementeringen.
De 3 trin til NIS 2-succes
Unitas har en samlet proces og tilbud på alle faserne af jeres NIS 2-implementering og -drift.
1
Start med en NIS 2-workshop hvor du får kortlagt gaps og lagt en køreplan for det videre forløb.
2
Foretag en NIS 2-implementering, der matcher jeres behov.
3
Lad Unitas varetage driften efterfølgende med en NIS 2-as-a-Service aftale.
1. Er I omfattet af NIS 2?
Start her med at finde ud af, om I er omfattet af NIS 2
Der er mange måder, en organisation kan blive omfattet af NIS 2-kravene. Den første er, at organisationen består af en enhed i en af de sektorer, du kan se nedenfor. Derudover skal organisationen have en vis størrelse: Mindst 50 ansatte og over 10 mio. EUR i årlig samlet balance/årlig omsætning. Indgår organisationen i en koncern er udgangspunktet, at selskaberne skal ses samlet for så vidt angår tærsklerne. Endelig skal organisationen ind og læse nærmere på, hvordan hver enkelt sektor er defineret. Det er således ikke alle enheder i en bestemt sektor, som er omfattet af NIS 2.
Derudover kan organisationen være NIS 2-omfattet, hvis organisationen leverer til en NIS 2-omfattet enhed. Mange af de krav, som de NIS 2-omfattede enheder skal efterleve, havner således i realiteten hos NIS 2-enhedernes IT-leverandører. NIS 2 indeholder nemlig et krav om forsyningskædesikkerhed.
NIS 2-direktivet indeholder derudover en række andre muligheder for at være direkte omfattet. Vi gennemgår de væsentligste, men ikke alle, nedenfor.
Uanset størrelse finder direktivet således også anvendelse på enheder i sektorerne, der er vist ovenfor:
- hvor tjenester leveres af udbydere af offentlige elektroniske kommunikationsnet eller af offentligt tilgængelige elektroniske kommunikationstjenester,
- hvor tjenester leveres af tillidstjenesteudbydere,
- hvor tjenester leveres af topdomænenavneadministratorer og udbydere af domænenavnesystemer,
- hvor enheden er den eneste udbyder i en medlemsstat af en tjeneste, der er væsentlig for opretholdelsen af kritiske samfundsmæssige eller økonomiske aktiviteter,
- hvor en forstyrrelse af den tjeneste, enheden leverer, vil kunne have væsentlig indvirkning på den offentlige sikkerhed eller folkesundheden,
- hvor en forstyrrelse af den tjeneste, enheden leverer, vil kunne medføre en væsentlig systemisk risiko, navnlig for sektorer, hvor en sådan forstyrrelse kan have en grænseoverskridende virkning,
- hvor enheden er kritisk på grund af sin specifikke betydning på nationalt eller regionalt plan for den pågældende sektor eller type af tjeneste eller for andre indbyrdes afhængige sektorer i medlemsstaten og endelig.
- hvor enheden er en offentlig forvaltningsenhed a) under den centrale forvaltning som defineret af en medlemsstat i overensstemmelse med national ret eller b) på regionalt plan som defineret af en medlemsstat i overensstemmelse med national ret, som efter en risikobaseret vurdering leverer tjenester, hvis forstyrrelse vil kunne have væsentlig indvirkning på kritiske samfundsmæssige eller økonomiske aktivitetet.
Derudover gælder NIS 2: -
hvis man leverer domænenavnsregistreringstjenester.
-
hvis man er en offentlig forvaltningsenhed på lokalt plan (kommune) eller en uddannelsesinstitution, der navnlig udfører kritiske forskningsaktiviteter. Det kræver dog, at Danmark som led i implementeringen beslutter, at disse enhedstyper skal være omfattet.
-
NIS 2 undtager aktiviteter inden for national sikkerhed, offentlig sikkerhed, forsvar eller retshåndhævelse, herunder forebyggelse, efterforskning, afsløring og retsforfølgning af strafbare handlinger.
Hør Asbjørn fortælle et eksempel om hvorfor transportenheder kan være omfattet af NIS 2
2. NIS 2 - Implementering
Unitas fører jer trygt igennem processen
At opnå NIS 2-efterlevelse er en omfattende proces, hvor individuelle udgangspunkter konvergerer mod det samme mål. Det vil helt enkelt sige, at I skal på en modenhedsrejse, der kan tage op til flere år alt efter jeres udgangspunkt. Vejen mod målet er generelt ens for alle, men størrelsen af de udfordringer, der opstår undervejs, kan variere betydeligt.
Baseret på vores mangeårige ekspertise og erfaring med cyber- og informationssikkerhed har Unitas tilrettelagt en transparent og pragmatisk proces, der er baseret på ISO27001/2-standarden.
Hvis du ønsker den fulde og detaljerede oversigt med interessenter og output fra de enkelte faser, kan du klikke her. Oversigten bliver tilsendt automatisk inden for få minutter.
De enkelte skridt
Implementering
Ledelsen spiller en stor og central rolle i en succesfuld implementering og efterfølgende drift af NIS 2. Det er derfor essentielt, at ledelsen kender grundigt til NIS 2, får dybt indblik i roller, ansvar og det løbende arbejde i organisationen – også efter NIS 2 er implementeret.
Unitas tilbyder en fokuseret ledelsesintroduktion til NIS 2 for direktion, bestyrelse og anden relevant topledelse. I skal sætte ca. 3 timer af til den. Det er her det hele starter!
Næste skridt i processen fortsætter med en workshop, hvor vi sammen identificerer de udfordringer og barrierer, der skal overvindes på vejen mod efterlevelse af NIS 2. Vi etablerer en fælles forståelse af ledelsens ansvar i forhold til NIS 2 og udarbejder en ledelsesrapport, der indeholder en overordnet plan for resten af forløbet.
Derefter udfører vi en gap-analyse. Vi anvender rammeværket CIS Controls. CIS Controls måler jeres modenhed i forhold til 18 tekniske foranstaltninger, der alle har til formål – som NIS 2 – at nedbringe jeres cyber- og informationssikkerhedsrisiko. Da mange af de 18 foranstaltninger overlapper med de krav, som NIS 2 stiller til jer, vil man kunne få en god indikation af, hvor I er lige nu og de delmål, der skal indfries på vejen. Vi tager dog naturligvis udgangspunkt i, hvad I allerede måtte have i forvejen af relevant dokumentation, ligesom en eventuel nyligt udført CIS Controls-måling eller tilsvarende, vil kunne genbruges i større eller mindre omfang.
En central del af implementeringen af NIS 2 består i er at skabe rammerne for cyber- og informationssikkerhedsindsatsen. Med udgangspunkt i en overordnet cybersikkerhedsstrategi, der forankres i topledelsen, udmønter vi strategien i en informationssikkerhedspolitik baseret på ISO27001, der igen forankres hos ledelsen. På den baggrund udarbejdes en oversigt over de foranstaltninger fra ISO27002, der allerede findes, og som enten skal forbedres eller etableres i organisationen for første gang for at leve op til NIS 2.
Forbedringen og/eller etableringen af foranstaltningerne sker på baggrund af risikovurderinger og mere praktisk ved at udarbejde emnespecifikke politikker. Disse politikker skal ses som ledelsens ordre til den øvrige organisation om ved at følge politikkerne at sikre netop det cyber- og informationssikkerhedsniveau, som ledelsen har fastsat i cybersikkerhedsstrategien og informationssikkerhedspolitikken, og som risikovurderingerne har vist er nødvendigt. Politikkerne kan dog også kaldes standarder, vejledninger, direktiver eller håndbøger, som vi har kaldt dem nedenfor, alt efter jeres måde at kommunikere på.
Politikkerne kan omhandle eksempelvis administration af adgang, fysisk sikring og miljøsikring, styring af aktiver, netværkssikkerhed og backup og skal typisk efterleves af især IT-afdelingen såvel internt som i forhold til IT-leverandører, hvoraf nogle samtidig vil være jeres databehandlere.
Derefter beskriver vi kravene mere enkelt og forståeligt i en letlæselig medarbejderrettet håndbog, der omhandler specifikke områder relateret til de enkelte arbejdsfunktioner i organisationen. Efter omstændighederne kan der yderligere udarbejdes mere målrettede håndbøger eksempelvis Indkøb, HR og Facility.
Dokumentationen er afgørende for efterlevelsen! Når ovenstående er på plads har I etableret et såkaldt ledelsessystem for informationssikkerhed (ISMS). Det er det formelt korrekte navn i en ISO27001-kontekst. ISMS betyder – skåret ind til benet – at ledelsen tager ansvar for og styrer jeres cyber- og informationssikkerhedsindsats, som ledelsen netop skal efter NIS 2.
Drift af ISMS i et årshjul: Da ISMS’et skal revideres og forbedres på baggrund af de løbende risikovurderinger og måske certificeres, nytter det ikke noget, at ISMS’et ligger i Word- og Excel-filer rundt omkring. Det skal samles op i et ISMS-understøttende IT-system (GRC-system) – altså i en IT-løsning. Hvis I allerede har en IT-løsning, tager vi naturligvis udgangspunkt i det.
Har I ikke allerede valgt en IT-løsning, hjælper vi jer med at identificere jeres behov for IT-understøttelse. Vi har således værktøjer som Wired Relations og Cyberday til rådighed, der kan løfte opgaven. Udover NIS 2 kan de fleste GRC-systemer samtidig løse opgaven at dokumentere efterlevelse af andre regelsæt, herunder, men ikke udelukkende, GDPR, PCI DSS, kunders særlige behov, sektorlovgivning mv.
Drift og forbedring
Når dokumentationen er på plads i IT-løsningen, skal organisationen til at efterleve politikker, håndbøger, risikovurdere løbende osv. Ganske ofte vil efterlevelsen betyde, at I skal ændre i jeres normale aktiviteter og arbejdsrutiner. På dette trin kan det være, der er behov for en kulturændring, så ISMS’et ikke blot havner i skuffen, og I bliver sårbare overfor cyberangreb og mulige tilsynsreaktioner, herunder bøder til organisationen og ledelsesmedlemmerne.
Eksempler: Det fremgår af den opdaterede indkøbspolitik, at Indkøb skal sikre, at cyber- og informationssikkerhed indgår som et element i alle IT-kontrakterne, samt at det skal kontrolleres, at IT-leverandørerne reelt efterlever de stillede sikkerhedskrav. Hvis Indkøb på grund af ressourcemangel ikke allerede i dag arbejder med et cyber- og informationssikkerhedsspor, er det klart, at den opdaterede indkøbspolitik betyder, at Indkøb skal justere lidt i nogle af sine processer.
Det kan også være, at jeres passwords skal forbedres i lyset af jeres nye passwordpolitik. Igen kan der være tale om, at en adfærd skal justeres.
Tilretningen af jeres daglige aktiviteter på tværs af organisationen kaldes driftsfasen. I driftsfasen gennemføres som nævnt de foranstaltninger, der er tilvalgt i politikker, håndbøger osv. Målet er at forbedre gennemførelsen af foranstaltningerne baseret på risikovurderinger. Der handles derfor naturligt på eventuelt konstaterede ikke-gennemførte foranstaltninger eller nye risici, som skal håndteres, ved at vurdere, hvad der hindrer gennemførelsen samt eventuelt ved at revidere den politik, der beskriver, hvad der skal gøres. Endelig sikres det, at politikkerne er blevet behørigt kommunikeret til de rette i organisationen.
Vi kan varetage driftsfasen for jer, så I slipper for omkostningen ved en GRC-funktion, og I er sikre på blandt andet, at organisationen bidrager til NIS 2-efterlevelsen, samt at ledelsen løbende modtager den lovpligtige rapportering om jeres cyber – og informationssikkerhedsindsats. Se mere nederst.
Du er i mål!
Efter en succesfuld driftsperiode er du i stand til at dokumentere efterlevelse af NIS 2-kravene, samt justere hvordan du efterlever NIS 2, når den danske NIS 2-lovgivning er på plads.
Hvis det ønskes, kan efterlevelsen søges påvist ved at blive D-mærket. D-mærket er dog ikke en garanti for, at myndighederne også mener, I efterlever NIS 2 til fulde, men blot en indikation heraf. Er ambitionen større end det, eller I vil ISO27001-certificeres, tilrettelægger vi dokumentationen herefter, således en ISO27001-certificering muliggøres.
Hvad så nu – hvem og hvordan skal vores NIS 2 drives fremadrettet?
Efter implementeringen kommer driften som bekendt. Her kan Unitas enten klæde interne medarbejdere på til at varetage årshjulets driftsopgaver, herunder ledelsesrapporteringen, eller I kan vælge at tegne en compliance-as-a-service-aftale med Unitas, hvor vi løbende varetager langt størstedelen af NIS 2-opgaverne. Derved sparer i dyre ansættelser, som historisk har været svære at fastholde.
3. Hvad koster en NIS2 implementering?
Nu kender du processen – beregn din pris her
Besvar en række spørgsmål i vores beregner og få en stærk indikation af den økonomi, I skal forvente i forbindelse med jeres NIS 2-implementering.
I relation til NIS 2-implementering anvender Unitas i beregneren enhedspriser og ikke timepriser. Derfor kan vi give en temmelig præcis pris.
- Priserne i Fase 1 aktiviteterne er fastpriser.
- Ved priserne i Fase 2 kan der fortsat forhold, der kan rykke prisen i begge retninger. Priserne i Fase 2 er derfor en indikation og ikke et endeligt, bindende tilbud.
Vi håber, du finder beregneren enkel og værdifuld i din videre stillingtagen til NIS 2-implementering.