Hvorfor netværkssikkerhed er ufravigelig for efterlevelse af ISO 27001 og NIS2

Netværkssikkerhed er rygraden i efterlevelse af ISO 27001 og NIS2. Organisationer, der behersker netværksforsvar, opfylder ikke kun regulatoriske krav, men reducerer også risiko, beskytter følsomme data og sikrer driftskontinuitet i et trusselsbillede under konstant udvikling.

Hvad der er på spil

Moderne organisationer står over for en vedvarende strøm af cybersikkerhedstrusler rettet mod deres netværk. Fra ransomware og brud på persondatasikkerheden til angreb i forsyningskæden er konsekvenserne af utilstrækkelig netværkssikkerhed alvorlige: økonomiske tab, regulatoriske sanktioner, omdømmeskade og driftsforstyrrelser. ISO/IEC 27001:2022 og NIS2 kræver begge proaktiv netværksbeskyttelse, hvilket gør emnet til et anliggende på bestyrelsesniveau for enhver enhed, der håndterer følsomme data eller kritiske tjenester.

Risiciene rækker ud over IT. Netværksfejl kan standse produktion, forstyrre kundevendte tjenester og eksponere personoplysninger eller regulerede data. NIS2 hæver især kravene for væsentlige og vigtige enheder, f.eks. sundhedssektoren, energi og udbydere af digital infrastruktur, ved at stille strenge krav til risikostyring, hændelseshåndtering og forretningskontinuitet. Under begge standarder er forventningen klar: Netværk skal være robuste, segmenterede og løbende overvågede, så hændelser kan forebygges, opdages, håndteres og danne grundlag for genopretning.

Forestil dig en mellemstor produktionsvirksomhed med et segmenteret netværk, der understøtter både produktion og administrative funktioner. En fejlkonfigureret firewall eksponerer produktionsnetværket og fører til et ransomwareangreb, der standser driften i flere dage. Det medfører ikke alene tabt omsætning, men udløser også myndighedskontrol og skader kundernes tillid. Hændelsen viser, hvordan svigt i netværkssikkerhed hurtigt kan eskalere fra tekniske fejl til forretningskritiske kriser.

Netværkssikkerhed handler ikke kun om teknologi; det handler om løbende at sikre fortrolighed, integritet og tilgængelighed for alle systemer og data. Det regulatoriske pres stiger: NIS2 kræver proportionale risikostyringsforanstaltninger, og ISO/IEC 27001:2022 indlejrer netværkskontroller i den centrale ISMS-ramme. Manglende efterlevelse kan medføre betydelige bøder, retlige skridt og varig omdømmeskade.

Sådan ser god praksis ud

Organisationer, der er stærke inden for netværkssikkerhed, opnår mere end regulatorisk efterlevelse; de skaber et miljø, hvor risici styres, hændelser hurtigt inddæmmes, og forretningsmål beskyttes. God praksis bygger på principperne og kontroltemaerne i ISO/IEC 27001:2022 og NIS2.

Effektiv netværkssikkerhed begynder med robust perimeterbeskyttelse, segmentering af kritiske aktiver og løbende overvågning. Kontrollerne i Anneks A til ISO/IEC 27001:2022, især dem der er kortlagt til NIS2, kræver tekniske og organisatoriske foranstaltninger, der afspejler risikoeksponering og driftsbehov. Det betyder implementering af firewalls, systemer til detektion og forebyggelse af indtrængen (IDS/IPS) og sikker routing, men også formalisering af politikker og procedurer for hændelseshåndtering, adgangsstyring og leverandørtilsyn.

En organisation, der efterlever kravene, har dokumenterede og operationelt forankrede politikker for netværkssikkerhed, godkendt af øverste ledelse og bekræftet af medarbejdere og tredjeparter. Netværk er arkitekteret til at forhindre lateral bevægelse, med isolerede følsomme zoner og stramt kontrolleret adgang. Overvågning og logning er aktive og muliggør hurtig detektion og forensisk analyse. Regelmæssige risikovurderinger informerer design og drift af netværkskontroller, så de forbliver egnede til formålet, efterhånden som trusler udvikler sig.

Et eksempel: En sundhedsudbyder omfattet af NIS2 segmenterer sit patientdatanetværk fra generelle IT-tjenester, anvender stramme adgangskontroller og overvåger for usædvanlig aktivitet. Når der opstår mistanke om et brud, isolerer hændelseshåndteringsteamet de berørte segmenter, analyserer logfiler og gendanner driften, hvilket dokumenterer modstandsdygtighed og regulatorisk tilpasning.

God netværkssikkerhed kan måles. Den dokumenteres gennem revisionsspor, kvittering for politikker og en dokumenteret historik for inddæmning af hændelser. Kontroller kortlægges til kravene i både ISO/IEC 27001:2022 og NIS2, og krydsreferencer sikrer, at intet falder mellem to stole.¹ Zenith Blueprint

Praktisk vej frem

At opnå effektiv netværkssikkerhed for ISO 27001 og NIS2 er en proces, der kombinerer tekniske kontroller, dokumenterede politikker og driftsmæssig disciplin. Succes afhænger af klart omfang, proportionale foranstaltninger og dokumenterbar evidens. Følgende trin, baseret på Clarysec-artefakter, giver en pragmatisk køreplan.

Begynd med at definere omfanget af netværkssikkerheden, herunder alle komponenter fra kablet og trådløs infrastruktur til routere, switche, firewalls, gateways og informationssystemer. Dokumenterede politikker, f.eks. politik for netværkssikkerhed, fastlægger reglerne for sikkert design, sikker brug og sikker styring og sikrer, at alle forstår deres ansvar.² Politik for netværkssikkerhed

Implementér derefter tekniske kontroller, der er tilpasset ISO/IEC 27001:2022 og NIS2. Det omfatter segmenteringsmodeller, firewallregelsæt og undtagelsesprocesser for følsomme systemer. Løbende overvågning er afgørende, med logning og alarmering ved mistænkelig adfærd. Regelmæssige risikovurderinger og sårbarhedsscanninger identificerer nye trusler og danner grundlag for opdatering af kontroller og procedurer.

Operationalisér politikker for adgangsstyring for at begrænse adgang til kritiske netværkszoner. Sørg for, at privilegerede konti og legitimationsoplysninger til systemadministration håndteres efter bedste praksis, med periodiske gennemgange og hurtig tilbagekaldelse af adgang ved rolleændringer. Leverandørrelationer skal styres gennem sikkerhedsklausuler og tilsyn, især når organisationen er afhængig af ekstern netværksinfrastruktur.³ Zenith Controls

Indarbejd hændelseshåndtering og forretningskontinuitet i netværksdriften. Dokumentér procedurer for at opdage, reagere på og genoprette efter netværkshændelser. Test disse processer regelmæssigt ved at simulere scenarier som ransomwareudbrud eller forstyrrelser i forsyningskæden. Vedligehold evidens for kvittering for politikker og træning, så medarbejdere og tredjeparter er bekendt med forventningerne.

Et eksempel fra praksis: En SMV i finanssektoren bruger Zenith Blueprint til at kortlægge ISO 27001-kontroller til NIS2-artikler og implementerer segmenterede netværk, firewalls og IDS. Da en leverandørs VPN-legitimationsoplysninger kompromitteres, forhindrer hurtig detektion og isolering en bredere påvirkning, og dokumenteret evidens understøtter regulatorisk rapportering.

Den praktiske vej er iterativ. Hver forbedringscyklus bygger på læring og revisionskonstateringer og styrker både efterlevelse og modstandsdygtighed.

Politikker der forankrer praksis

Politikker er rygraden i bæredygtig netværkssikkerhed. De skaber klarhed, ansvarlighed og mulighed for konsekvent håndhævelse og sikrer, at tekniske kontroller understøttes af organisatorisk disciplin. For ISO 27001 og NIS2 er dokumenterede politikker ikke valgfrie; de er krævet evidens for efterlevelse.

Politik for netværkssikkerhed er central. Den definerer krav til beskyttelse af interne og eksterne netværk mod uautoriseret adgang, driftsafbrydelser, aflytning af data og misbrug. Den dækker sikkert design, brug og styring og stiller krav om segmentering, overvågning og håndtering af hændelser. Godkendelse fra øverste ledelse og kvittering fra medarbejdere og tredjeparter er afgørende for at dokumentere en sikkerhedskultur.⁴ Politik for netværkssikkerhed

Andre understøttende politikker omfatter politik for adgangskontrol, politik for styring af privilegerede konti og politik for leverandørrelationer. Tilsammen sikrer de, at netværksadgang begrænses, højrisikokonti styres stramt, og eksterne afhængigheder håndteres med sikkerhed for øje.

Eksempelvis indfører en logistikvirksomhed en formel politik for netværkssikkerhed og kræver, at alle medarbejdere og kontrahenter kvitterer for den. Dette trin opfylder ikke blot krav i NIS2 og ISO 27001, men fastlægger også forventninger til adfærd og ansvarlighed. Når der opstår en netværkshændelse, muliggør den dokumenterede politik en hurtig og koordineret respons.

Politikker skal være levende dokumenter, der gennemgås, opdateres og kommunikeres, efterhånden som trusler og teknologier udvikler sig. Evidens for politikopdateringer, medarbejdertræning og øvelser i hændelseshåndtering dokumenterer løbende efterlevelse og modenhed.

Tjeklister

Tjeklister omsætter politik og strategi til handling. De hjælper organisationer med at opbygge, drive og verificere netværkssikkerhed på en struktureret og gentagelig måde. For efterlevelse af ISO 27001 og NIS2 giver tjeklister konkret evidens for implementering af kontroller og løbende sikkerhed.

Opbygning: Netværkssikkerhed for ISO 27001 og NIS2

Opbygning af netværkssikkerhed starter med en klar forståelse af krav og risici. Tjeklisten sikrer, at grundlæggende kontroller er på plads, før driften påbegyndes.

• Definér omfang: Oplist alle netværkskomponenter, herunder kablet/trådløs infrastruktur, routere, switche, firewalls, gateways og cloudtjenester.
• Godkend og kommunikér politik for netværkssikkerhed til alt relevant personale og tredjeparter.⁵
• Design netværkssegmentering, så kritiske aktiver og zoner med følsomme data isoleres.
• Implementér perimeterbeskyttelse: firewalls, IDS/IPS, VPN’er og sikker routing.
• Etablér adgangsstyringsmekanismer for netværksadgangspunkter og privilegerede konti.
• Dokumentér leverandørrelationer, og indarbejd sikkerhedsklausuler i kontrakter.
• Kortlæg kontroller til Anneks A i ISO 27001:2022 og NIS2-artikler ved hjælp af Zenith Blueprint.¹

En regional detailkæde bruger eksempelvis denne tjekliste til at opbygge et segmenteret netværk til betalingssystemer og sikre, at PCI DSS-, ISO 27001- og NIS2-kontroller er afstemt fra første dag.

Drift: Løbende styring af netværkssikkerhed

Drift af sikre netværk kræver årvågenhed, periodisk gennemgang og løbende forbedring. Denne tjekliste fokuserer på de daglige aktiviteter, der opretholder efterlevelse og modstandsdygtighed.

• Overvåg netværk løbende for anomalier ved brug af SIEM- og logstyringsløsninger.
• Gennemfør regelmæssige sårbarhedsvurderinger og penetrationstest.
• Gennemgå og opdatér firewallregelsæt, segmenteringsmodeller og undtagelsesprocesser.
• Administrér privilegerede konti med periodiske gennemgange af adgangsrettigheder og øjeblikkelig tilbagekaldelse af adgang ved rolleændringer.
• Træn medarbejdere og tredjeparter i sikkerhedspolitikker og procedurer for hændelseshåndtering.
• Vedligehold evidens for kvittering for politikker og gennemført træning.
• Gennemfør sikkerhedsgennemgange og revisioner af leverandører.

En SMV i sundhedssektoren driver eksempelvis sit netværk med løbende overvågning og kvartalsvise gennemgange af adgangsrettigheder, så fejlkonfigurationer opdages og afhjælpes, før de eskalerer.

Verifikation: Revision og kontrolsikkerhed for netværkssikkerhed

Verifikation lukker kredsløbet og giver sikkerhed for, at kontroller er effektive, og at efterlevelsen opretholdes. Denne tjekliste understøtter interne og eksterne revisioner.

• Indsaml evidens for godkendelse, kommunikation og kvittering for politikker.
• Dokumentér risikovurderinger, sårbarhedsscanninger og øvelser i hændelseshåndtering.
• Vedligehold revisionsspor for netværksændringer, gennemgang af adgangsrettigheder og leverandørtilsyn.
• Kortlæg revisionskonstateringer til krav i ISO 27001:2022 og NIS2 ved hjælp af Zenith Controls-biblioteket.³
• Afhjælp mangler og implementér korrigerende handlinger, og opdatér politikker og kontroller efter behov.
• Forbered regulatoriske inspektioner og kunderevisioner med evidens klar til gennemgang.

En finansiel virksomhed, der forventer en revision fra en tilsynsmyndighed, bruger denne tjekliste til at organisere dokumentation og dokumentere efterlevelse på tværs af netværkssikkerhedsdomæner.

Almindelige faldgruber

På trods af gode intentioner snubler organisationer ofte over netværkssikkerhed i relation til ISO 27001 og NIS2. Disse faldgruber er tydelige, omkostningstunge og ofte mulige at forebygge.

En væsentlig faldgrube er at behandle netværkssikkerhed som en “sæt op og glem det”-aktivitet. Kontroller kan være implementeret, men uden regelmæssig gennemgang og test opstår der huller: forældede firewallregler, uovervågede privilegerede konti og upatchede sårbarheder. Efterlevelse bliver en papirøvelse og ikke en levende praksis.

En anden faldgrube er manglende korrekt segmentering af netværk. Flade netværk gør det muligt for trusler at bevæge sig lateralt og forstærker konsekvensen af brud. NIS2 og ISO 27001 forventer begge logisk og fysisk adskillelse af kritiske aktiver, men mange organisationer overser dette af hensyn til bekvemmelighed.

Leverandørrisiko er et andet svagt punkt. Brug af tredjepartsnetværkstjenester uden robuste sikkerhedsklausuler, tilsyn eller revisioner eksponerer organisationer for kaskadefejl og regulatorisk eksponering. Hændelser hos leverandører kan hurtigt blive organisationens eget problem, især under NIS2’s krav til forsyningskæden.

Kvittering for politikker bliver ofte forsømt. Medarbejdere og kontrahenter kan være uvidende om forventningerne, hvilket fører til risikabel adfærd og svag hændelseshåndtering. Dokumenteret evidens for kommunikation af politikker og træning er afgørende.

Eksempel: En teknologistartup outsourcer netværksstyring, men undlader at revidere sin udbyder. Da udbyderen rammes af et brud, eksponeres kundedata, hvilket udløser regulatoriske tiltag og skader startupvirksomhedens omdømme.

At undgå disse faldgruber kræver disciplin: regelmæssige gennemgange, stærk segmentering, leverandørstyring og klar kommunikation af politikker.

Næste skridt

• Udforsk Zenith Suite for integrerede netværkssikkerhedskontroller og compliance-kortlægning: Zenith Suite
• Vurdér jeres beredskab med Complete SME & Enterprise Combo Pack, herunder politikskabeloner og revisionsværktøjer: Complete SME + Enterprise Combo Pack
• Fremskynd jeres arbejde med netværkssikkerhed med Full SME Pack, tilpasset hurtig tilpasning til ISO 27001 og NIS2: Full SME Pack

Referencer