Ja, men ret beset er risikoen ret lille, hvis impact og sandsynlighed er det samme som GDPR. så hvorfor skynde sig?

Ja, det kræver ikke megen tid med regnearket at konstatere at det er billigere at betale bøden, end at bruge en masse tid på at leve op til kravene.

Artiklen handler om NIS2 ikke GDPR.

Selv når vi taler GDPR vil jeg fastholde at "Der er ikke ret mange virksomheder som kan dokumentere at de de arbejder risikobaseret."

Dokumentere/dokumentation er nøgleordet her.

En risikobeskrivelse er nød til at beskrive hvilket form for tab der kan forventes, hvilken trussel der kan gør skade og hvilken sårbarhed truslen udnytter.

Og det er præcis hvad en PIA er - og som derfor er krævet at man udarbejder ifbm. GDPR

Enig i at det står i GDPR lovgivningen, men dette handler om NIS2 og en nogle andre typer af virksomhed end dem som arbejder med følsomme persondata.

Dog vil jeg, som Lorry skriver, også påstå at "Der er ikke ret mange virksomheder som kan dokumentere at de de arbejder risikobaseret."

Jeg arbejder for en stor dansk virksomhed. Her ser jeg nærmest ingen dokumentation for at man arbejder med risikobaseret ledelse.

Der er en politik, der siger at vi skal arbejde risikobaseret, men intet krav om at risici skal dokumenteres og der har aldrig været et kursus om hvad en risiko er.

Jeg høre flere tale om risici, men hver gang er det sårbarheder der tales om, ikke risici.

fx. At noget ikke er patched og indeholder en sårbarhed som producenten mener er kritisk, betyder ikke at der er en væsentlig risiko. En risiko er kombinationen af sandsynlighed og konsekvens. Yderligere hvis det aktiv der skal beskyttes ikke har nogen særlig værdi så er risikoen igen lavere.

En risikobeskrivelse er nød til at beskrive hvilket form for tab der kan forventes, hvilken trussel der kan gør skade og hvilken sårbarhed truslen udnytter.

https://gdpr-info.eu/issues/privacy-impact-assessment/ "Basically, a data protection impact assessment must always be conducted when the processing could result in a high risk to the rights and freedoms of natural persons. " - så du SKAL vurdere risici for de data du behandler - således at du kan lave en PIA på de rigtige.

Så jeg kan ikke andet, end at se det som et krav at man vurderer risici (sandsynlighed og impact) for datatab af forskellig art - og derved har man været pænt inde over de samme områder, som NIS2 omhandler.

Jeg er ikke enig, Artikel 20 siger ikke noget om at det skal være risikobaseret. Risikostyring er blot en mulighed for at opnå målet.

Læs direktivets paragraf 20:

Overskriften er 'Kapitel IV Foranstaltninger til styring af cybersikkerhedsrisici og rapporteringsforpligtelser'

Artikel 20 Styring

1. Medlemsstaterne sikrer, at de væsentlige og vigtige enheders ledelsesorganer godkender de foranstaltninger til styring af cybersikkerhedsrisici, som disse enheder har truffet med henblik på at overholde artikel 21, fører tilsyn med dens gennemførelse og kan gøres ansvarlige for enhedernes overtrædelser af forpligtelserne i nævnte artikel. ...
2. Medlemsstaterne sikrer, at medlemmerne af væsentlige og vigtige enheders ledelsesorganer er forpligtet til at følge kurser, og skal tilskynde væsentlige og vigtige enheder til løbende at tilbyde tilsvarende kurser til deres ansatte, således at de opnår tilstrækkelige kundskaber og færdigheder til at kunne identificere risici og vurdere metoderne til styring af cybersikkerhedsrisici og deres indvirkning på de tjenester, der leveres af enheden.

Jeg synes, at det handler rigtig meget om risikobaseret tænkning og -styring.

Hvis der stod at virksomhederne skulle arbejde risikobaseret, ville det kræve så meget mere og ville kræve en implementeringsperiode på et par år, mindst. Der er ikke ret mange virksomheder som kan dokumentere at de de arbejder risikobaseret.

Du må mene noget andet end den interview'ede mht. risikobaseret. Som opsummeret fint her - står det allerede som et krav i GDPR at man skal arbejde risikobaseret med sin sikkerhed / databeskyttelse - https://www.collibra.com/us/en/blog/adopting-a-risk-based-approach-to-comply-with-gdpr

Så hvis man ikke gør det allerede, er man i brud med GDPR :(

Lad os starte med det basale:

NIS2 er IKKE en "it-sikkerhedsloven fra EU". Det er en lovgivning der skal sikre viden og vidensdeling om hændelser (ikke kun angreb). Der stilles krav om nogle kapabiliteter, hvoraf en del er digitale.

minde en del om det, mange endte i med GDPR, hvor man virkelig havde travlt frem mod, loven fik virkning i Danmark,« siger han til Version2.

Ja, men ret beset er risikoen ret lille, hvis impact og sandsynlighed er det samme som GDPR. så hvorfor skynde sig?

Det, som er kernen i NIS2, er et grundlæggende krav til, at du skal arbejde risikobaseret

Hvor i NIS2 står dette? som jeg husker NIS2, så står der ikke noget om risikobaseret, der står at man skal kunne dokumentere forskellige forhold.

Hvis der stod at virksomhederne skulle arbejde risikobaseret, ville det kræve så meget mere og ville kræve en implementeringsperiode på et par år, mindst. Der er ikke ret mange virksomheder som kan dokumentere at de de arbejder risikobaseret.

Glimrende interview med en anden vinkel end ellers.