Hvad er NIS2?
Risikoen for cyberkriminalitet og cyberspionage mod Danmark er ”meget høj“, og har efterhånden været det i nogle år. Det er Styrelsen for Samfundssikkerhed, der vurderer dette årligt. Den seneste trusselsvurdering er fra 2025, og det er ikke rar læsning. Særligt ikke når en stor del af vores samfund beror på anvendelsen af IT og en høj grad af digitalisering. Det skal og kan vi ikke lave om på. Digitalisering giver mange muligheder. Det, vi skal gøre, er at forebygge og passe godt på det vi har.
EU-lovgivning øger kravene til cybersikkerhed
NIS2-direktivet er EU’s seneste tiltag for at styrke cybersikkerheden på tværs af medlemslandene. Direktivet stiller skærpede krav til virksomheder og organisationer, der opererer i kritiske sektorer som energi, sundhed, transport og digital infrastruktur. Det betyder, at flere virksomheder end tidligere nu skal forholde sig til nye regler for beskyttelse af netværk og informationssystemer.
Med NIS2 bliver det nødvendigt at have styr på både tekniske og organisatoriske sikkerhedsforanstaltninger. Det omfatter alt fra risikovurderinger til beredskabsplaner og rapportering af sikkerhedshændelser inden for stramme tidsfrister. Hvis kravene ikke overholdes, risikerer man som virksomhedsejer ikke blot betydelige bøder og tab af omdømme, men man udsætter også i sin forretning for betydelige farer.
En af vores værdier her i Vicath EQ er, at vi er ansvarlige i det samfund, som vi lever i. Derfor er der også meget godt forbundet med at have en høj cybersikkerhed. Vi er selv certificeret efter ISO 27001, og det er vi både stolte af og ydmyg overfor.
NIS2 er én ud af mange tiltag, som man som virksomhed bør implementere, når man ønsker at øge informationssikkerheden. En ting er det tekniske, noget andet er at få hele ens team med på hvor og hvornår, der er en risiko, så man som medarbejder er med til at forebygge og reagere, når noget ser underligt ud.
AI og cyberkriminalitet
Cyberkriminaliteten bliver også effektiviseret, og hvor vi får år tilbage, lo af nogle af de mails man for eksempel fik, er det blevet sværere og sværere at se hvad der er ægte og falsk. Det gør det ikke bedre at AI også øger kompleksiteten i forhold til cyberkriminalitet. Det forventes, at der kommer nye varianter af malware og ransomware og at der er en højere grad af Social Engineering – altså det at man forsøger at lokke mennesker til at handle. Det er ofte under tidspres, pres fra autoriteter også videre for at lokke medarbejderen til at afgive data, som kan anvendes til at få adgang til penge.
Deepfakes er et andet område, hvor AI også har vundet indpas ved cyberkriminelle. Det at man anvender AI til at genbruge en persons stemme eller adfærd, ved film til at udgive sig for at være en anden. Det er ikke rart at tænke på. Viden og kildekritik er derfor vigtigt for at forebygge den slags angreb i fremtiden.
Forebyggelse og vidensdeling
Der er dog mange og forskellige tiltag, som kan gøre en virksomhed mindre sårbar. ISO 27001 er delt op i:
- Organisatoriske foranstaltninger
- Personalemæssige foranstaltninger
- Fysiske kontroller
- Tekniske foranstaltninger
Organisatoriske foranstaltninger
De organisatoriske kontroller omhandler for eksempel politikker, roller og ansvar, ledelsesansvar, kontakt med myndigheder, håndtering af information, adgangsstyring og beføjelser, leverandørstyring, kommunikation, lovkrav med videre.
Personalemæssige foranstaltninger
Personalemæssige foranstaltninger omhandler det at sikre en god kultur i virksomheden på baggrund af ansættelsesprocedurer, træning og bevidsthed omkring informationssikkerhed, fortrolighed og mobile arbejdspladser, ophør af samarbejde og hændelsesregistrering.
Fysiske kontroller
De fysiske kontroller omhandler sikring af de omgivelser, der arbejdes i, og det udstyr, der anvendes. Det kan blandt andet være adgangskontrol til bygninger, overvågning, sikring af arbejdsstationer og beskyttelse af hardware.
Tekniske foranstaltninger
En stor andel af NIS2 ligger i de tekniske foranstaltninger, herunder autoriserede adgange, kapacitetsstyring, styring af udvikling og ændringer, datahåndtering, programmer, netværkssikkerhed med mere.
NIS2?
Skal man have NIS2, spørger mange. Uanset om man skal eller ej, så har cybersikkerhed aldrig været vigtigere end det er i disse år. Vi har baseret vores samfund på en høj grad af digitalisering, og har og får meget ud af dette. Som med alt andet, er det godt at forebygge og sikre, at tingene foregår på en god og kontrolleret måde.