NIS2 kræver da ikke IT-Sikkerhedseksperter? Det kræver i høj grad erfarne driftsfolk, sådanne er normalt også indehavere af et par sikkerhedscertificeringer og at man giver dem tiden til at lave en plan for at leve op til NIS2,, sammen med jeres CISO (og har i ikke en - så sørg for at få en der dermed kan fokusere på den opgave - gerne en der har driftserfaring) - og sørg for at forankre CISO i driften - så samarbejdet fungerer og der kommer reelt anvendelige løsninger på sikkerhedsudfordringerne - og ikke bare "krav om X, Y og Z" - uden nogen evne til at finde reelle løsninger der også sikrer den funktionalitet man ønsker kan opretholdes og driftes fornuftigt :)

Et godt operationsteam bruger 80-90% af deres tid på "ny udvikling/forbedring" af driftssystemerne - og der er det super vigtigt at man har forståelse for sikkerheden og kan identificere og løse de problemer - desto før jo bedre, så vigtig tid spares på at implementere noget der sikkerhedsmæssigt ellers ville være en falliterklæring.

Fandt bl.a. en Ok gennemgang af NIS2 impact here: https://yogosha.com/blog/nis2-directive-compliance-guide/ Hvad der lige "gælder" som jævnlig sikkerhedstræning til management (og helst også driftsfolk iflg. NIS2 som jeg læser det) - det er et godt spørgsmål.

Det har generelt aldrig været der jeg lærte hvad jeg skulle lære, men certificeringer blev tager fordi jeg kunne og havde interessen alligevel..

Der mangler klart en mere "tydelig" definition af de her krav i NIS2 - for man kan finde mange sikkerhedscertificeringer mm. - som ikke er pengene værd.

SANS GIAC certs.. såsom Security Essentials.. (GSEC) har jeg selv været glad for og så har de nogle for management specifikt. Mange er mindede på "sikkerhedsfolk" - men jeg ved ikke hvilke der er gode til sysadmins? eller om GSEC er tilstrækkeligt.. Den del bliver "interessant" at få klarlagt.

@thomas Rasmussen Well når større virksomheder nu mødes med øgede krav, vil det jo nedarves til leverandørleddene og det er det, der er problemet, mange vil ikke parate eller være klar over hvad der er på vej og det bliver et klart konkurrenceparameter:-)

"Men hvis en lille virksomheder [sic] leverer noget samfundskritisk til en NIS2-virksomhed, kan man risikere også selv at få nye krav til cybersikkerheden som følge af NIS2." Det ræsonnement forstår jeg ikke. I det tilfælde vil NIS2-virksomheden (den store) vel i forvejen have stillet skærpede sikkerhedskrav til den lille virksomhed, som så ikke burde blive super overrasket af nye krav. Jeg er med på, at NIS2 bliver udfordrende, men reaktionen blandt toneangivende aktører er efter min mening ude af proportioner.