CISO i vildrede over NIS2: »Virksomheder kigger ind i en sky af frygt«

11. maj kl. 12:444
Dagrofa
Dagrofas hovedkontor. Illustration: Dagrofa.
Alle råber op om, at han skal gå i gang med NIS2-arbejdet med det samme for at nå det i tide, men myndighederne har endnu ikke meldt noget ud om de kommende danske krav. Det efterlader Hans Christian Koch, CISO i Dagrofa, forvirret og frustreret over samfundets vigtigste it-sikkerhedsopgave.
Louise Olifent
Louise Olifent

De sidste 12 måneder har Hans Christian Koch, CISO i Dagrofa på fjerde år, arbejdet på at forstå, hvordan NIS2 vil påvirke virksomheden. Han har forsøgt at sætte sig ind i it-sikkerhedsloven fra EU og de minimumskrav, der følger med.

Og selvom EU-parterne vedtog direktivet allerede sidste november, er han stadig »forvirret, hvis jeg skal korte det ned til ét ord,« fortæller han til Version2.

Læs hele artiklen

Tech Management er Teknologiens Mediehus’ ledelsesmedie, der klæder dig på til stærk ledelse i den teknologiske transformation.

Få 3 ugers gratis prøveabonnement. Betalingskort er ikke påkrævet, og du bliver ikke flyttet til et betalt abonnement efterfølgende.

Du kan også få tilsendt et tilbud til dig.

Få prøveabonnementLog ind
IDA-medlemmer og PLUS-abonnenter kan gratis læse op til 6 artikler om måneden. Maks. 1 artikel pr. PRO-medie.
Abonnementsfordele
vpn_key
Fuld adgang til Tech Management
Alt indhold på Tech Management er åbent for dig, så du kan nyde det fra din computer, tablet eller mobil.
drafts
Kuraterede nyhedsbreve
Nyheder, interviews, tendenshistorier og meget mere, leveret til din indbakke.
Adgang til andre medier
Hver måned får du 6 klip, som kan bruges til permanent at låse op for indhold på vores andre medier.
thumb_up
Adgang til debatten
Deltag i debatten med andre professionelle.
4 kommentarer.  Hop til debatten

Fortsæt din læsning

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
3
Klavs Klavsen
9. maj kl. 10:59

Er det kun den danske regering og embedsværk der er langsomme, eller det ALLE EU-lande der ikke har noget specifikt til deres firmaer mm. mht. til de ting der savnes? Hvis bare ét EU land har lavet noget mere - så vil det med høj sandsynlighed være en god retningslinie for hvordan det vil komme til at se ud i DK - da det trods alt er en implementation af den samme EU lovgivning :)

  • more_vert
    • insert_linkKopier link
Skrevet på Version2
2
Mette Nikander
9. maj kl. 16:12

Jeg helt enig med Hans Christian Koch. Det yderst kritisabelt at vi ikke har en regering der er i stand til at lede landet efter internationale sikkerhedsforskrifter og lovgivninger for Danmarks cybersikkerhedsforsvar, men snarere er gået i udvalgsmøder om udvalgsmøder og interne resort-magtkampe....

Imens der fortvivlet ventes.....Man bør tænke på, hvordan det er tænkeligt, at man kan angribes, afdække sikkerhedshuller og tiltag og beskrive dette og de overvejelser man har gjort...så er man ikke helt galt på vej. Det bør trusselsbilledet taget i betragtning, være i enhver virksomheds interesse at gøre, NIS2 eller ej. Dagrofa er jo en stor virksomhed, i fald af at man er underleverandør til udenlandske virksomheder, skal de være NIS2 compliant. Det betyder også at man skal udvise den samme ansvarlighed og compliance i alle de lande man er repræsenteret i. Jeg ville derfor skele til hvilke lande hvor virksomheden er repræsenteret, som er nået længere. Men der vil ligesom med GDPR ikke blive anvist værktøj til styring af NIS2 compliance eller anbefaling af specifikke tekniske foranstaltninger. Jeg vil mene at så længe man udviser agtpågivenhed, rettidig omhu i sine processer og datahåndtering og dokumenterer dette, så er man godt på vej. Tiltag udover almindelig traditionel sikkerhed såsom firewalls, antimalware og kryptering, er løsninger og aktiviteter, der gør organisationen mere modstandsdygtig og agil. Derfor skal man

  • Aktivt arbejde med Security Awareness, så organisationen menneskeligt set er mere parat og vidende. På teknologisiden kan det omfatte simuleret phishing og e-learning om sikkerhed og compliance, men det kan også være organisatorisk klogt at afholde organisatoriske sikkerhedsøvelser (IR og CM)
  • Se på anvendelse af adgangsbegrænsende teknologier, både - styring af digitale identiteter- For hvem eller hvad, hvornår og hvor længe må en session være åben
  • Sørg for at sikkerhedsteste systemer og adgange (penetrationstests udefra og ind og inde i netværk)
  • Overvej løsninger der kan opdage anomalier (typisk XDR, EDR eller netværkssensorer) der kan være særdeles nyttige.
  • Tænk også at tiltag skal dække OT og IOT
  • Alle loggenererende løsninger kan med fordel samles i et ISMS for centralt overblik og administration, for evne til hurtig inddæmning og reaktion på angreb.

Mange store virksomheder har faktisk disse løsninger og tiltag på plads og måske også mere branchespecifikt. I den sammenhæng bliver NIS2 et eftersyn og i princippet en skrivebordsøvelse, hvor der skal dokumenteres. Det kan selvfølgelig tage tid og er man bekymret for om man når rundt om det hele, er der cybersikkerhedsvirksomheder, der kan bidrage med hjælp.

  • more_vert
    • insert_linkKopier link
Skrevet på Version2
1
Marius Zena
9. maj kl. 08:48

»Problematikken er, at vi faktisk stadig ikke er hundrede procent sikre på, hvordan det kommer til at påvirke os,«

100% bliver i aldrig

Konkret mangler han først og fremmest at få at vide, hvilke specifikke krav de danske myndigheder har til organisationen; hvilke tekniske foranstaltninger han skal implementere; hvordan kontrollerne skal foregå; om der er et specifikt rammeværk, han skal følge for at leve op til de kommende danske NIS2-regler?

Myndighederne kommer ikke til at anvise tekniske foranstaltninger, hvordan kontroller skal implementeres og myndighederne kommer ikke til at anvise et specifikt rammeværktøj

Det vil være meget ressourcetungt at skulle ændre i budgetterne til næste år.

Myndighederne er fuldstændigt ligeglade med Dagrofa's manglende evner til at ændre noget.

  • more_vert
    • insert_linkKopier link
Skrevet på Version2