På vej mod en fælles ansvarlighed: Sådan vil NIS2 gøre cybersikkerhed til et forretningsområde for topledelser i Europa

Anna Rossi

Anna Rossi

Senior Privacy Lawyer, GRC & Privacy

July 18, 2023 at 10:00

Siden årsskiftet har vi hos Nixu formidlet information og indblik viden om de vigtigste forpligtelser i henhold til NIS2-cybersikkerhedsdirektivet. Overholdelse af sådanne forpligtelser kræver et effektivt Information Security Management System og en tilstrækkelig indident, detection og response kapabiliteter til rettidigt at opdage og reagere på hændelser. Vi har endnu ikke uddybet, er de forhold, der binder disse cybersikkerhedsforanstaltninger sammen med forretningsmål og strategi – governance.

Cybersikkerhedsgovernance handler om at styre og kontrollere cybersikkerhedsaktiviteter. Det sikrer, at cybersikkerheden er i overensstemmelse med forretningens mål. På den ene side giver en velfungerende governancemodel topledelsen, de oplysninger, de har brug for til at træffe beslutninger, og holder dem også ansvarlige for sådanne beslutninger. På den anden side muliggør det at træffe beslutninger om risikostyring af cybersikkerhed på passende niveauer i din organisation.

NIS2-kravene til governance handler i høj grad om at definere ledelsesorganernes ansvarsområder.

  • For det første skal ledelsesorganerne godkende de foranstaltninger der tages omkring cybersecurity risk management, som organisationer skal gennemføre i henhold til NIS2.

  • For det andet skal ledelsesorganerne føre tilsyn med implementeringen af disse foranstaltninger.
  • For det tredje skal ledelsesorganer holdes ansvarlige for overtrædelser af NIS2-bestemmelserne om risikostyring i forbindelse med cybersikkerhed.

  • Endelig sigter NIS2 mod at øge topledelsens opmærksomhed på cybersikkerhed ved udtrykkeligt at kræve, at medlemmer af ledelsesorganer regelmæssigt uddannes i risikostyring af cybersikkerhed, det man også kalder Cybersecurity Risk Management.

I denne artikel vil vi uddybe disse NIS2-styringskrav.

Ledelse med ansvar for godkendelse af foranstaltninger til Cybersecurity Risk Management

NIS2 sigter mod at gøre cybersikkerhed til et anliggende for ledelsen og bestyrelsen. Indtil nu har bestyrelser været kendt for at acceptere korte informationssikkerhedspolitikker, men ellers har cybersikkerhed være underlagt en ofte underfinansieret og/eller underbemandet afdeling under CISO, CIO eller CFO.

NIS2 sigter mod at ændre denne praksis ved at gøre ledelsesorganer ansvarlige og også juridisk ansvarlige for cybersikkerhed. Ledelsesorganet forventes at definere enhedens strategi og risikovillighed for cybersikkerhed, som andre derefter effektivt kan styre og drive. Sådanne beslutninger bør ikke isoleres fra overordnede Risk Management beslutninger, men indgå i din organisations generelle Risk Management Framework.

Top management in a meeting

Effektiv governance vil kræve identifikation af ledelsesstrukturer og interne interessenter samt definering af klare roller og ansvar for cybersikkerhed. Ledelsesorganer bliver nødt til at definere en tilgang til beslutningstagning, der hverken er for rigid eller for eftergivende. En række cybersikkerhedsbeslutninger skal kunne være mulige på operativt og taktisk niveau, hvorimod forretningskritiske strategiske beslutninger bør eskaleres til direktionen og endda bestyrelsen. Vigtigst af alt skal denne styringsmodel også fungere i praksis

Ledelsesorganer forventes at føre tilsyn med implementeringen af foranstaltninger til styring af cybersikkerhedstrusler

Ledelsesorganets tilsyn kræver regelmæssig og meningsfuld rapportering fra dem, der er ansvarlige for driften af risikostyringsfunktioner for cybersikkerhed. Ledelsesorganet bør holdes orienteret om sikkerhedsrelateret formåen som fx særlige hændelser, vigtige udviklinger og ændringer i organisationens cybersikkerhedslandskab. En sådan rapportering vil sætte ledelsesorganet i stand til at identificere muligheder for løbende forbedringer og træffe beslutninger om sikkerhedsmål på et oplyst grundlag, der er i overensstemmelse med virksomhedens strategiske retning.

Nogle gange kan en effektiv governance kræve et behov for uafhængige revisioner eller auditeringer af dit cybersikkerhedsniveau.

Implementering af et effektivt informationssikkerhedsstyringssystem (ISMS) hjælper ledelsen med at sikre, at organisationen gør de rigtige ting. Fx vil et ISO27001-baseret informationssikkerhedsstyringssystem blive integreret i en organisations processer og eksisterende ledelsesstruktur. Det vil skabe en struktur, der integrerer fortrolighed, integritet og tilgængelighed i de forskellige områder af cybersikkerhed, som NIS2 kræver, at du vedligeholder. 

For at få mere at vide kan du læse vores blogindlæg om ledelsessystemer vedrørende informationssikkerhed.

Ledelsesorganer holdes ansvarlige for overtrædelser

Tooth wheel mechanism with the word Liability

Ledelsesorganer er i sidste ende ansvarlige for, hvad der sker i din organisation. NIS2 indeholder en række forskellige tilsyns- og håndhævelsesbeføjelser, herunder en eksplicit forpligtelse til at holde medlemmer af ledelsesorganer personligt ansvarlige for en tilsidesættelse af deres forpligtelser til at sikre overholdelse af NIS2-forpligtelserne. I visse situationer kan medlemmer af ledelsesorganer midlertidigt fritages for deres ledelsesansvar. Sådanne håndhævelsesbeføjelser skal implementeres og præciseres yderligere i national lovgivning.

Tiltag

Vi opfordrer alle organisationer, der er omfattet af NIS2, til at begynde at evaluere deres cybersikkerhedsniveau og gennemgå deres styringsmodeller.

  • Har du identificeret de teams, du har brug for til at få cybersikkerhed til at fungere?
  • Har du defineret klare roller og ansvarsområder i forhold til cybersikkerhed?
  • Hvordan fungerer disse roller i praksis?
  • Har du allerede et ledelsessystem for informationssikkerhed?

At have en klar og effektiv styringsmodel på plads vil ikke kun hjælpe dig med at overholde NIS2, men vil, hvis den implementeres korrekt, helt sikkert forbedre hele din organisations bevidsthed om cybersikkerhed. Og i sidste ende vil det øge dine stakeholders/interessenters tillid til dine evner til at styre cybersikkerhed.
 

Vi rådgiver dig gerne, hvis det er aktuelt med forberedelser for din organisation i forhold til NIS2. Du kan finde oplysninger om vores tjenester her og kontakte os ved hjælp af kontaktformularen her.

Læs mere om Nixus viden om effekterne af NIS2 på nixu.comArtiklerne kan findes nedenfor.

Book 15 minutes with Nixu

Related blogs