Med NIS2 lægges der op til brugen af avancerede sikkerhedsteknologier, og det er afgørende vigtigt, at virksomheder følger med og bliver mere cybersikre. Men ifølge Daniel Appelon Storgaard, der er sikkerhedsrådgiver hos DBI, så skal løsningerne være proportionelle i forhold til risicien. Ellers risikerer man at investere for meget og gøre medarbejdernes arbejdsdag unødigt besværlig.

NIS2 står for Network and Information Systems Directive 2, og introducerer på europæisk niveau strammere sikkerhedskrav med formål om at øge cybersikkerheden i EU’s medlemsstater. Men hvad drejer det sig om i praksis?

Konkret stiller EU-direktivet krav til avancerede sikkerhedsteknologier med et formål om at beskytte kritiske data og systemer mod cybertrusler. Det kan fx være gennem multifaktorautentificering (MFA), der sikrer, at kun autoriserede personer kan få adgang til virksomhedens systemer. Det kan også være nødkommunikationssystemer, der skal sikre, at kommunikationen kan fortsætte selv under et cyberangreb eller systemnedbrud.

Hvad er en god strategi?

Når det kommer til teknologiske sikkerhedsforanstaltninger, er det ifølge sikkerhedsrådgiver hos DBI, Daniel Appelon Storgaard, vigtigt for virksomheder at vælge løsninger, der passer til deres specifikke risici.

“Her er det vigtigt at pointere, at der står i direktivet, at de foranstaltninger, virksomhederne indfører, skal være proportionelle i forhold til de risici, de står overfor. Altså skal virksomhederne ikke nødvendigvis anvende de samme løsninger på alle systemer”, siger Daniel Appelon Storgaard.

Helt konkret er anbefalingen, at arbejdet med at implementere NIS2-direktivet starter med en inddragelse af ledelsen. NIS2 understreger, at virksomhedens ledelse skal godkende sikkerhedsforanstaltningerne. Det er derfor vigtigt, at ledelsen inddrages tidligt i processen, så de kan træffe informerede beslutninger.

Det første skridt er ifølge Daniel Appelon Storgaard at gennemføre en detaljeret risikovurdering for at identificere kritiske aktiver. For hvert aktiv bør virksomheden analysere sårbarheder og potentielle trusler. Når risiciene er kortlagt, bør virksomheden fokusere på at implementere passende sikkerhedstiltag, der reducerer disse risici på en realistisk måde.

Det er ifølge Daniel Appelon Storgaard dog vigtigt, at processen ikke slutter her. Når relevante sikkerhedstiltag er på plads, er det vigtigt at evaluere dem regelmæssigt for at sikre, at de opfylder deres formål. På samme måde bør også risikovurderingen opdateres løbende, da cybertrusler konstant udvikler sig.

Balance mellem sikkerhed og brugervenlighed

Der er flere faldgruber, virksomheder skal være opmærksomme på, når de implementerer sikkerhedsforanstaltninger. En af de største er ifølge Daniel Appelon Storgaard at vælge løsninger, der er for komplekse.

“Fx kan multifaktorautentifikation opleves som tidskrævende, da det uundgåeligt tilføjer et ekstra trin i loginprocessen. Derfor er det vigtigt at vælge løsninger, der balancerer sikkerhed og brugervenlighed”, fortæller han og fortsætter:

“Når man tager hensyn til, hvordan medarbejderne arbejder i praksis, sikrer man, at sikkerhedsforanstaltningerne er både effektive og nemme at integrere i dagligdagen”.

Læs mere om NIS2 og DBI´s anbefalinger her

Foto: Unsplash