@Klavs Klavsen. Når jeg lige søger hurtigt, ser det ud til at f.eks. Tyskland er klar med nogle udmeldinger på https://www.bmi.bund.de/ men jeg har ikke haft tid til at granske det nærmere.....

Jeg helt enig med Hans Christian Koch. Det yderst kritisabelt at vi ikke har en regering der er i stand til at lede landet efter internationale sikkerhedsforskrifter og lovgivninger for Danmarks cybersikkerhedsforsvar, men snarere er gået i udvalgsmøder om udvalgsmøder og interne resort-magtkampe....

Imens der fortvivlet ventes.....Man bør tænke på, hvordan det er tænkeligt, at man kan angribes, afdække sikkerhedshuller og tiltag og beskrive dette og de overvejelser man har gjort...så er man ikke helt galt på vej. Det bør trusselsbilledet taget i betragtning, være i enhver virksomheds interesse at gøre, NIS2 eller ej. Dagrofa er jo en stor virksomhed, i fald af at man er underleverandør til udenlandske virksomheder, skal de være NIS2 compliant. Det betyder også at man skal udvise den samme ansvarlighed og compliance i alle de lande man er repræsenteret i. Jeg ville derfor skele til hvilke lande hvor virksomheden er repræsenteret, som er nået længere. Men der vil ligesom med GDPR ikke blive anvist værktøj til styring af NIS2 compliance eller anbefaling af specifikke tekniske foranstaltninger. Jeg vil mene at så længe man udviser agtpågivenhed, rettidig omhu i sine processer og datahåndtering og dokumenterer dette, så er man godt på vej. Tiltag udover almindelig traditionel sikkerhed såsom firewalls, antimalware og kryptering, er løsninger og aktiviteter, der gør organisationen mere modstandsdygtig og agil. Derfor skal man

• Aktivt arbejde med Security Awareness, så organisationen menneskeligt set er mere parat og vidende. På teknologisiden kan det omfatte simuleret phishing og e-learning om sikkerhed og compliance, men det kan også være organisatorisk klogt at afholde organisatoriske sikkerhedsøvelser (IR og CM)
• Se på anvendelse af adgangsbegrænsende teknologier, både - styring af digitale identiteter- For hvem eller hvad, hvornår og hvor længe må en session være åben
• Sørg for at sikkerhedsteste systemer og adgange (penetrationstests udefra og ind og inde i netværk)
• Overvej løsninger der kan opdage anomalier (typisk XDR, EDR eller netværkssensorer) der kan være særdeles nyttige.
• Tænk også at tiltag skal dække OT og IOT
• Alle loggenererende løsninger kan med fordel samles i et ISMS for centralt overblik og administration, for evne til hurtig inddæmning og reaktion på angreb.

Mange store virksomheder har faktisk disse løsninger og tiltag på plads og måske også mere branchespecifikt. I den sammenhæng bliver NIS2 et eftersyn og i princippet en skrivebordsøvelse, hvor der skal dokumenteres. Det kan selvfølgelig tage tid og er man bekymret for om man når rundt om det hele, er der cybersikkerhedsvirksomheder, der kan bidrage med hjælp.

Er det kun den danske regering og embedsværk der er langsomme, eller det ALLE EU-lande der ikke har noget specifikt til deres firmaer mm. mht. til de ting der savnes? Hvis bare ét EU land har lavet noget mere - så vil det med høj sandsynlighed være en god retningslinie for hvordan det vil komme til at se ud i DK - da det trods alt er en implementation af den samme EU lovgivning :)

»Problematikken er, at vi faktisk stadig ikke er hundrede procent sikre på, hvordan det kommer til at påvirke os,«

100% bliver i aldrig

Konkret mangler han først og fremmest at få at vide, hvilke specifikke krav de danske myndigheder har til organisationen; hvilke tekniske foranstaltninger han skal implementere; hvordan kontrollerne skal foregå; om der er et specifikt rammeværk, han skal følge for at leve op til de kommende danske NIS2-regler?

Myndighederne kommer ikke til at anvise tekniske foranstaltninger, hvordan kontroller skal implementeres og myndighederne kommer ikke til at anvise et specifikt rammeværktøj

Det vil være meget ressourcetungt at skulle ændre i budgetterne til næste år.

Myndighederne er fuldstændigt ligeglade med Dagrofa's manglende evner til at ændre noget.