NIS2 handler ikke kun om store samfundskritiske virksomheder. Mange små og mellemstore virksomheder bliver indirekte påvirket gennem kundekrav, leverandørsamarbejder og stigende forventninger til dokumenteret IT-sikkerhed.
NIS2-direktivet er EU’s nye fælles ramme for cybersikkerhed og stiller skærpede krav til virksomheder inden for en række kritiske sektorer. Selvom mange små og mellemstore virksomheder ikke bliver direkte omfattet af lovgivningen, vil de i praksis ofte mærke konsekvenserne alligevel.
Større kunder og samarbejdspartnere begynder allerede nu at stille højere krav til deres leverandørers sikkerhedsniveau. Det kan f.eks. være krav om dokumentation for sikkerhedsprocedurer, beredskabsplaner, adgangskoder og MFA (flerfaktorgodkendelse), awareness-træning eller risikovurderinger.
Her er fem områder, små og mellemstore virksomheder med fordel kan have fokus på allerede nu.
1. NIS2 kan påvirke jer, også selvom I ikke er direkte omfattet
Mange små og mellemstore virksomheder tror fejlagtigt, at NIS2 kun gælder store virksomheder/organisationer. Men virksomheder, der lever IT, drift, software, cloudløsninger eller andre kritiske services til større virksomheder, vil ofte møde nye sikkerhedskrav fra kunder og samarbejdspartnere.
Det betyder i praksis, at dokumentation, sikkerhedsprocedurer beredskabsplaner, adgangskoder og MFA (flerfaktorgodkendelse), awareness-træning og risikovurderinger bliver vigtigere, også for mindre virksomheder.
2. Ledelsen får et større ansvar
NIS2 lægger vægt på, at ledelsen aktivt skal forholde sig til cybersikkerhed. Det er ikke længere kun en teknisk opgave for IT-afdelingen.
Virksomheder bør derfor kunne dokumentere:
- Hvordan risici vurderes
- Hvilke sikkerhedstiltag der er implementeret
- Hvordan medarbejdere bliver instrueret og trænet.
Manglende fokus på sikkerheden kan i stigende grad få både økonomiske og forretningsmæssige konsekvenser.
3. Leverandørstyring bliver afgørende
Et af de områder, mange virksomheder overser, er sikkerheden hos leverandører og samarbejdspartnere.
NIS2 stiller større krav til:
- Databehandleraftaler
- Sikkerhedsvurderinger
- Adgangsstyring
- Dokumentation for leverandørers sikkerhedsniveau.
Små og mellemstore virksomheder bør derfor have overblik over, hvilke eksterne systemer og leverandører der har adgang til virksomhedens data eller drift.
4. Beredskab og hændelseshåndtering skal kunne dokumenteres
Det er ikke længere nok blot at have antivirus installeret. Virksomheder bør have en plan for:
- Hvordan sikkerhedshændelser opdages
- Hvem der reagerer
- Hvordan skader begrænses
- Hvordan hændelser dokumenteres.
Selv mindre virksomheder bliver i stigende grad mødt med krav om dokumenteret beredskab fra kunder og samarbejdspartnere.
5. Awareness blandt medarbejdere er stadig en af de vigtigste faktorer
Phishing, social engineering og menneskelige fejl er stadig blandt de største årsager til sikkerhedsbrud.
NIS2 understreger betydningen af løbende awareness og træning af medarbejdere. Det gælder især:
- Phishing-awareness
- Sikker håndtering af data
- Adgangskoder og MFA (flerfaktorgodkendelse)
- Forståelse for virksomhedens sikkerhedspolitikker.
Tekniske løsninger alene er sjældent nok uden medarbejdere, der ved hvordan truslerne ser ud i praksis.
Hos sure’it hjælper vi virksomheder med at skabe overblik over sikkerhed, compliance og dokumentation i praksis, i et niveau, der passer til virksomhedens størrelse og hverdag.
Læs mere på sure’its hjemmeside https://sureit.dk/services/it-sikkerhed-beredskab-og-auditering
Eller kontakt Per Ulrik Nielsen på tlf.: 42 80 60 20, på mail: sureit@sureit.dk eller via kontaktknappen herunder.
