5 gode skridt og 3 faldgruber, når NIS 2 rammer ... med Jacob Naur
IT-sikkerheden bliver mere og mere bundet af regler og lovgivning. Det taler Jacob Høedt Larsen og Jacob Naur, chief legal officer hos UNITAS om i denne podcast, hvor Jacob Naur giver sit bud på både faldgruber og gode råd, når det gælder arbejdet med compliance på it-sikkerhedens område.
IT-sikkerheden bliver mere og mere bundet af regler og lovgivning. Det taler Jacob Høedt Larsen og Jacob Naur, chief legal officer hos UNITAS om i denne podcast, hvor Jacob Naur giver sit bud på både faldgruber og gode råd, når det gælder arbejdet med compliance på it-sikkerhedens område.
Hvis man er en væsentlig eller vigtig virksomhed, så bliver ISO 27001 i praksis lov, og det vil også smitte af på andre virksomheder, som eksempelvis leverer til dem. Det er ikke længere muligt at risikovurdere sig ud af reglerne.
Jacob Naur forudser, at der vil komme meget konkrete krav, når NIS 2 skal implementeres, fordi man har lært af, at man i forbindelse med implementeringen af GDPR gav forholdsvis vide rammer til virksomheder og organisationer.
De 3 Faldgruber i organisationen:
1. Jurister, it-folk og informationssikkerhedsmedarbejdere har Ikke forstand på compliance
2. Compliance er en meget praktisk øvelse, som går på tværs af organisationen
3. Compliance er en proces og ikke et projekt
Der sidder med andre ord en masse dygtige mennesker i organisationen, og så lander NIS 2 eller DORA som et lidt skævt projekt.
Hvad skal man gøre i stedet:
1. Man skal have fornemmelse for samspillet i en organisation.
2. Hvem skal helt konkret snakke sammen (CFO, it-chefen / CIO, fastlagt den juridiske ramme)
3. Når de mennesker kommer i samme rum, så løser de det.
4. Årshjul. Det er en slags bogholderi
5: Compliance ligger på tværs.
Ledelsens rolle: Jacob Naur spekulerer over, hvordan man involverer ledelsen. Udgangspunktet er, at ledelsen måske ikke ved så meget om GDPR og informationssikkerhed og risikostyring, specielt blandt de nye elever i NIS 2-klassen.
Den rigtige måde at organisere arbejdet med compliance med NIS 2, DORA osv.:
1. Først bør man afklare, om man er sikker på, at man faktisk bliver ramt.
2. Herefter skal it og juristerne sætte sig sammen og blive enige om, hvilke eksisterende processer, vi skal have tilrettet eller forbedret. Hvda gør vi i forvejen, som hjælper os med at leve op til reglerne. Det skal de to grupper blive enige om. De kan med fordel have ISO i baghånden, så de kan vinge af, når de opdager noget, vi allerede gør godt.
3. Målet for arbejdet er hverken IT eller jura - det er, at det skal blive til compliance.
4. Nu skal ledelsen involveres. Projektgruppen kan gå til ledelsen og sige: Vi er 30 % i mål allerede med det, vi gør i dag.
5. Ledelsen skal så beslutte, hvad rammerne skal være. Vi kan måske leve med at komme 80 % i mål.
Jacob Naurs artikel i Computerworld: https://www.computerworld.dk/art/262038/saadan-skal-du-arbejde-med-compliance-og-it-sikkerhed-i-lyset-af-nis2-gdpr-dora-osv
Jacob Naur (https://www.linkedin.com/in/jacob-naur-67bb901b/) er chief legal officer hos UNITAS, som blander it-sikkerhed og compliance. Se mere om UNITAS her: https://unitas.consulting/
Vært: Jacob Høedt Larsen
Privacy League er en podcast fra Wired Relations, hvor vi taler om GDPR og informationssikkerhed. Privacy League er også et fællesskab omkring GDPR og informationssikkerhed, som du kan blive medlem af på www.wiredrelations.com/pl
Hvis man er en væsentlig eller vigtig virksomhed, så bliver ISO 27001 i praksis lov, og det vil også smitte af på andre virksomheder, som eksempelvis leverer til dem. Det er ikke længere muligt at risikovurdere sig ud af reglerne.
Jacob Naur forudser, at der vil komme meget konkrete krav, når NIS 2 skal implementeres, fordi man har lært af, at man i forbindelse med implementeringen af GDPR gav forholdsvis vide rammer til virksomheder og organisationer.
De 3 Faldgruber i organisationen:
1. Jurister, it-folk og informationssikkerhedsmedarbejdere har Ikke forstand på compliance
2. Compliance er en meget praktisk øvelse, som går på tværs af organisationen
3. Compliance er en proces og ikke et projekt
Der sidder med andre ord en masse dygtige mennesker i organisationen, og så lander NIS 2 eller DORA som et lidt skævt projekt.
Hvad skal man gøre i stedet:
1. Man skal have fornemmelse for samspillet i en organisation.
2. Hvem skal helt konkret snakke sammen (CFO, it-chefen / CIO, fastlagt den juridiske ramme)
3. Når de mennesker kommer i samme rum, så løser de det.
4. Årshjul. Det er en slags bogholderi
5: Compliance ligger på tværs.
Ledelsens rolle: Jacob Naur spekulerer over, hvordan man involverer ledelsen. Udgangspunktet er, at ledelsen måske ikke ved så meget om GDPR og informationssikkerhed og risikostyring, specielt blandt de nye elever i NIS 2-klassen.
Den rigtige måde at organisere arbejdet med compliance med NIS 2, DORA osv.:
1. Først bør man afklare, om man er sikker på, at man faktisk bliver ramt.
2. Herefter skal it og juristerne sætte sig sammen og blive enige om, hvilke eksisterende processer, vi skal have tilrettet eller forbedret. Hvda gør vi i forvejen, som hjælper os med at leve op til reglerne. Det skal de to grupper blive enige om. De kan med fordel have ISO i baghånden, så de kan vinge af, når de opdager noget, vi allerede gør godt.
3. Målet for arbejdet er hverken IT eller jura - det er, at det skal blive til compliance.
4. Nu skal ledelsen involveres. Projektgruppen kan gå til ledelsen og sige: Vi er 30 % i mål allerede med det, vi gør i dag.
5. Ledelsen skal så beslutte, hvad rammerne skal være. Vi kan måske leve med at komme 80 % i mål.
Jacob Naurs artikel i Computerworld: https://www.computerworld.dk/art/262038/saadan-skal-du-arbejde-med-compliance-og-it-sikkerhed-i-lyset-af-nis2-gdpr-dora-osv
Jacob Naur (https://www.linkedin.com/in/jacob-naur-67bb901b/) er chief legal officer hos UNITAS, som blander it-sikkerhed og compliance. Se mere om UNITAS her: https://unitas.consulting/
Vært: Jacob Høedt Larsen
Privacy League er en podcast fra Wired Relations, hvor vi taler om GDPR og informationssikkerhed. Privacy League er også et fællesskab omkring GDPR og informationssikkerhed, som du kan blive medlem af på www.wiredrelations.com/pl
