Gode råd til at komme i gang med NIS 2 ... med Morten Eeg
Det bliver ikke nemt at implementere NIS 2, hvis du er omfattet, men her giver sikkerhedsrådgiver Morten Eeg gode råd til, hvordan du kommer godt i gang i praksis.
Det bliver ikke nemt at implementere NIS 2, hvis du er omfattet, men her giver sikkerhedsrådgiver Morten Eeg gode råd til, hvordan du kommer godt i gang i praksis.
Jacob Høedt Larsen spørger Morten, hvordan man kommer godt igang, og han siger, at man skal finde ud af nogle grundlæggende ting:
1. Er vi omfattet?
2. Hvad er det for tjenester, der er omfattet, og hvilke systemer understøtter den tjeneste?
3. Hvor godt er vores sikkerhedsniveau og beredskab på de her systemer?
Vi taler om:
- Fra starten laver vi en indflyvning over de opgaver, der ligger forude for virksomhederne og organisationerne i NIS 2. Én af Mortens vigtige pointer er, at NIS 2 er større end GDPR, og derfor skal man i gang forholdsvis hurtigt, hvis man skal nå implementeringen på 21 måneder.
- 10:00: Det er faktisk relativt få artikler i NIS 2-direktivet, man som virksomhed behøver at forholde sig til. Det handler om ledelsens rolle, sikkerhedsforanstaltninger, og så skal man kunne indberette hændelser. Morten gennemgår de foranstaltninger, man i hvert fald skal have kigget på.
- 12:50: Taler vi om, hvordan man håndterer sikkerhed hos sine leverandører. Det er nemlig noget, NIS 2 lægger stor vægt på.
- 15:08: Samfundsrisiko. Med NIS 2 kommer der en ny vinkel på risikovurderingerne, nemlig samfundsrisiko. Det er en ny risiko for mange, som kun er vant til at vurdere forretningens risiko (informationssikkerhed) og risikoen for den registrerede (GDPR). Men hvordan går man til det? Det giver Morten gode, praktiske bud på.
- 21:05: Taler vi om, hvordan man organiserer arbejdet. Arbejdet med NIS 2 må nemlig ikke komme til at foregå i siloer.
- 22:16: Taler vi om at skabe et fælles sprog for risiko på tværs af organisationen. Det nytter nemlig ikke noget, at GDPR, jura, IT og forretningen vurderer risikoen forskelligt. Med NIS 2 skal man nemlig i højere grad kunne arbejde med risiko på tværs af organisationen og de tre forskellige typer risici.
- 26:20: Med NIS 2 kan ledelsen i yderste konsekvens blive sat fra bestillingen. Derfor skal den involveres og uddannes. Det taler vi også om, og Morten kommer med gode råd til det arbejde, som mange oplever som svært.
- 29:50: Indberetning af sikkerhedshændelser: Med NIS 2 skal man kunne indberette sikkerhedshændelser inden for 24 timer - hvilket for mange vil kræve døgnbemanding. Dertil kommer, at myndigheden også skal svare tilbage hurtigt. Det bliver en udfordring.
Morten Eeg Ejrnæs Nielsen er sikkerhedsrådgiver hos Globeteam og i sin egen virksomhed. Han har arbejdet med informationssikkerhed og databeskyttelse i praksis i mange forskellige virksomheder og organisationer. Hans vinkel er derfor meget praktisk. Følg ham på Linkedin: https://www.linkedin.com/in/morten-eeg-ejrn%C3%A6s-nielsen/ og hans blog på Computerworld: https://www.computerworld.dk/forfatter/9622
Vært: Jacob Høedt Larsen
Privacy League er en podcast fra Wired Relations, hvor vi taler om GDPR og informationssikkerhed. Privacy League er også et fællesskab omkring GDPR og informationssikkerhed, som du kan blive medlem af på www.wiredrelations.com/pl
Jacob Høedt Larsen spørger Morten, hvordan man kommer godt igang, og han siger, at man skal finde ud af nogle grundlæggende ting:
1. Er vi omfattet?
2. Hvad er det for tjenester, der er omfattet, og hvilke systemer understøtter den tjeneste?
3. Hvor godt er vores sikkerhedsniveau og beredskab på de her systemer?
Vi taler om:
- Fra starten laver vi en indflyvning over de opgaver, der ligger forude for virksomhederne og organisationerne i NIS 2. Én af Mortens vigtige pointer er, at NIS 2 er større end GDPR, og derfor skal man i gang forholdsvis hurtigt, hvis man skal nå implementeringen på 21 måneder.
- 10:00: Det er faktisk relativt få artikler i NIS 2-direktivet, man som virksomhed behøver at forholde sig til. Det handler om ledelsens rolle, sikkerhedsforanstaltninger, og så skal man kunne indberette hændelser. Morten gennemgår de foranstaltninger, man i hvert fald skal have kigget på.
- 12:50: Taler vi om, hvordan man håndterer sikkerhed hos sine leverandører. Det er nemlig noget, NIS 2 lægger stor vægt på.
- 15:08: Samfundsrisiko. Med NIS 2 kommer der en ny vinkel på risikovurderingerne, nemlig samfundsrisiko. Det er en ny risiko for mange, som kun er vant til at vurdere forretningens risiko (informationssikkerhed) og risikoen for den registrerede (GDPR). Men hvordan går man til det? Det giver Morten gode, praktiske bud på.
- 21:05: Taler vi om, hvordan man organiserer arbejdet. Arbejdet med NIS 2 må nemlig ikke komme til at foregå i siloer.
- 22:16: Taler vi om at skabe et fælles sprog for risiko på tværs af organisationen. Det nytter nemlig ikke noget, at GDPR, jura, IT og forretningen vurderer risikoen forskelligt. Med NIS 2 skal man nemlig i højere grad kunne arbejde med risiko på tværs af organisationen og de tre forskellige typer risici.
- 26:20: Med NIS 2 kan ledelsen i yderste konsekvens blive sat fra bestillingen. Derfor skal den involveres og uddannes. Det taler vi også om, og Morten kommer med gode råd til det arbejde, som mange oplever som svært.
- 29:50: Indberetning af sikkerhedshændelser: Med NIS 2 skal man kunne indberette sikkerhedshændelser inden for 24 timer - hvilket for mange vil kræve døgnbemanding. Dertil kommer, at myndigheden også skal svare tilbage hurtigt. Det bliver en udfordring.
Morten Eeg Ejrnæs Nielsen er sikkerhedsrådgiver hos Globeteam og i sin egen virksomhed. Han har arbejdet med informationssikkerhed og databeskyttelse i praksis i mange forskellige virksomheder og organisationer. Hans vinkel er derfor meget praktisk. Følg ham på Linkedin: https://www.linkedin.com/in/morten-eeg-ejrn%C3%A6s-nielsen/ og hans blog på Computerworld: https://www.computerworld.dk/forfatter/9622
Vært: Jacob Høedt Larsen
Privacy League er en podcast fra Wired Relations, hvor vi taler om GDPR og informationssikkerhed. Privacy League er også et fællesskab omkring GDPR og informationssikkerhed, som du kan blive medlem af på www.wiredrelations.com/pl
