Sådan spiller NIS2-direktivet sammen med ISO 27001-standarden
Har du allerede en ISO 27001 certificering? Så er der gode nyheder på vej til dig. ISO 27001-standarden kan nemlig bruges som trædesten til at blive NIS2 compliant. I denne artikel får du et overblik over sammenhængen mellem ISO 27001-standarden og NIS2-direktivet.
Måske har du på indset, at din virksomhed bliver ramt af NIS2-direktivet, som forventes at træde i kraft i dansk lovgivning i januar 2025. Men hvad betyder det for dig og din virksomhed, når I allerede er ISO 27001 certificeret? NIS2-direktivet opfordrer til, at man ”benytter europæiske eller internationalt anerkendte standarder og specifikationer…”. Den gode nyhed er, at her er ISO 27001 en af de standarder, du kan anvende.
Selvom du allerede er ISO 27001-certificeret, er det en god idé at få det genbesøgt, da ambitionsniveauet i ISO 27001-implementeringen ikke dækker alle kravene i NIS2-direktivet. NIS2 gælder hele virksomheden – det vil sige, der er ikke mulighed for at områdeafgrænse omfanget, som det er tilfældet i ISO 27001.
Download vores e-bog med 7 råd, der gør dig klar til NIS2 her.
Har du ikke implementeret ISO 27001-standarden i virksomheden, kan du læse mere om det i vores artikler her:
- ISO 27001 standardens formål og opbygning
- Gevinsterne ved en ISO 27001-certificering
- Kravene, du skal efterleve for at overholde ISO 27001
Sammenhængen mellem NIS2-direktivet og ISO 27001-standarden
Vi har dykket ned i kravene fra NIS2-direktivet og holdt dem op imod kontrollerne fra ISO 27001. Det har resulteret i et overblik over, hvilke kontroller fra ISO 27001, du kan bringe i spil for at demonstrere, at virksomheden er compliant (se skema nedenfor). Dog er det ikke kun kontrollerne i sig selv, du skal implementere. Vi anbefaler, at du også implementerer governance-delen fra ISO 27001. På den måde sikrer du, at I laver løbende opfølgninger og risikovurderinger samt sikrer forankring i topledelsen.
NIS2 krav |
ISO 27001/2 |
Kap IV A21, stk. 2 a) Politikker for risikoanalyse og informationssystemsikkerhed |
(5.2 Policy) (6.1 Planning) (8.1-3 Operations) |
Kap IV A21, stk. 2 b) Håndtering af hændelser |
(7.2 Competence) (Annex A 5.24-28 Information security incident) |
Kap IV A21, stk. 2 c) Driftskontinuitet, såsom backup-styring og reetablering efter en katastrofe, og krisestyring |
(Annex A 5.29-30, 8.13-14) |
Kap IV A21, stk. 2 d) Forsyningskædesikkerhed, herunder sikkerhedsrelaterede aspekter vedr. forholdene mellem den enkelte enhed og dens direkte leverandører eller tjenesteudbydere |
(Annex A 5.19-23) |
Kap IV A21, stk. 2 e) Sikkerhed i forbindelse med erhvervelse, udvikling og vedligeholdelse af net- og informationssystemer, herunder håndtering og offentliggørelse af sårbarheder |
(Annex A 8.19-20) (Annex A 8.25-31) |
Kap IV A21, stk. 2 f) Politikker og procedurer til vurdering af effektiviteten af foranstaltninger til styring af cyber-sikkerhedsrisici |
(9.1 Monitoring, measurement) |
Kap IV A21, stk. 2 g) Grundlæggende cyber-hygiejnepraksisser og cyber-sikkerhedsuddannelse |
20 Tekniske minimumskrav (7.2 Competence) (7.3 Awareness) (Annex A 5.15-18) (Annex A 6.7) (Annex A 8.1-5) |
Kap IV A21, stk. 2 h) Politikker og procedurer vedr. brug af kryptografi og kryptering, hvor det er relevant. |
(Annex A 8.24) |
Kap IV A21, stk. 2 i) Personalesikkerhed, adgangskontrolpolitikker og forvaltning af aktiver |
(Annex A 5.9, 5.15, 6.2) |
Kap IV A21, stk. 2 j) Brug af løsninger med multifaktorautentificering eller kontinuerlig autentificering, sikret tale-, video- og tekstkommunikation og sikrede nødkommunikationssystemer internt i enheden, hvor det er relevant. |
(Annex A 5.17, 8.20-22) |
Kap IV A20, stk. 1 Medlemsstaterne sikrer, at de væsentlige og vigtige enheders ledelsesorganer godkender de foranstaltninger til styring af cyber-sikkerhedsrisici, som disse enheder har truffet med henblik på at overholde artikel 21, fører tilsyn med dens gennemførelse og kan gøres ansvarlige for enhedernes overtrædelser af forpligtelserne i nævnte artikel. |
(5.1 Leadership and commitment) (5.3 Organizational roles) (9.3.2-3 Management review inputs, review results) |
Kap IV A21, stk. 4 Nødvendige, passende og forholdsmæssige korrigerende foranstaltninger. |
(10.2 Nonconformity) |
Skemaet er baseret på vores vurdering af mindste kravene for at blive compliant med NIS2-direktivet. Vores viden bygger på uddannelse i NIS2-direktivet og relevante webinarer med blandt andet Kammeradvokaten, som har givet sit bud på, hvordan man tolker direktivet. Dog skal du være opmærksom på, at der kan være yderligere stramninger i direktivet inden for bestemte sektorer. Under alle omstændigheder er det vores klare anbefaling, at du påbegynder arbejdet med at blive compliant allerede nu, da nogle aktiviteter kan tage lang tid at få implementeret, men også så du er forberedt, hvis den sektor, du er underlagt, kommer med yderlige stramninger.
Et godt råd er at få skabt et overblik over, hvor stort et omfang jeres virksomhed bliver ramt af NIS2, samt få skabt et overblik over, hvilke politikker, processer og kontroller der allerede er implementeret i organisationen, som du kan arbejde videre på. Vi hjælper gerne med at få skabt sådan et overblik.
Læs mere om, hvordan du kan forberede dig på de skærpede krav fra NIS2 her.
kaastrup|andersen som din samarbejdspartner
Har du brug for hjælp til en ISO 27001-proces? Vi hjælper dig gerne videre. Ud fra dine behov sammensætter vi et unikt team af fx IT-projektledere, sikkerhedskonsulenter og IT-arkitekter. De kan blandt andet hjælpe dig med at afdække, hvilke tiltag der skal til for at løse din udfordring og sørge for intelligent træk på dine interne ressourcer, når projektet gennemføres.
Vi står altid klar til at tage en uforpligtende snak med dig om din IT-infrastruktur og sikkerhed. Kontakt Simon Søgaard Jensen på ssj@kaastrupandersen.dk eller +45 4412 7191.