Sådan fremskynder ISO/IEC 27001:2022 efterlevelse af NIS2 for SMV'er

NIS2-direktivet er trådt i kraft, og for mange små og mellemstore virksomheder føles det som en regulatorisk flodbølge. Hvis du er en SMV i en kritisk sektor eller indgår i en større forsyningskæde, er du nu omfattet af skærpede cybersikkerhedskrav. Denne vejledning viser, hvordan du kan bruge den globalt anerkendte ISO/IEC 27001:2022-ramme til at opfylde NIS2-kravene effektivt og strategisk.

Hvad er på spil

Direktivet om net- og informationssikkerhed (NIS2) er EU’s ambitiøse initiativ til at styrke den cybersikkerhedsmæssige modstandsdygtighed på tværs af kritiske sektorer. I modsætning til forgængeren favner NIS2 langt bredere, omfatter flere brancher og placerer direkte ansvar hos den øverste ledelse. For en SMV er manglende forberedelse ikke en mulighed. Direktivet kræver et grundniveau af sikkerhedsforanstaltninger, stramme frister for hændelsesrapportering og robust styring af risici i forsyningskæden. Manglende efterlevelse kan medføre betydelige bøder, driftsafbrydelser og alvorlig skade på omdømmet, som kan bringe centrale forretningsrelationer i fare.

Kernen i NIS2 er et krav om, at organisationer anvender en proaktiv og risikobaseret tilgang til cybersikkerhed. Article 21 i direktivet beskriver et minimumssæt af foranstaltninger, herunder politikker for risikoanalyse, hændelseshåndtering, forretningskontinuitet og sikkerhed i forsyningskæden. Dette er ikke en simpel afkrydsningsøvelse. Tilsynsmyndigheder forventer dokumentation for et aktivt og velfungerende sikkerhedsprogram, der tager højde for organisationens specifikke trusselsbillede og har implementeret passende kontroller til at reducere risiciene. For en SMV med begrænsede ressourcer kan det virke uoverskueligt at opbygge dette fra bunden, hvilket ofte fører til fragmenterede indsatser, der ikke lever op til direktivets helhedsorienterede forventninger.

Forestil dig en mellemstor logistikvirksomhed, der leverer transporttjenester til fødevaresektoren. Under NIS2 betragtes virksomheden nu som en “vigtig enhed”. Et ransomwareangreb, der krypterer virksomhedens planlægnings- og rutesystemer, kan standse driften i flere dage, forårsage fordærv og medføre brud på forpligtelser i forsyningskæden. Under NIS2 skal en sådan hændelse rapporteres til myndighederne inden for 24 timer. Virksomheden vil også blive vurderet på sin risikostyringspraksis. Havde den korrekte sikkerhedskopier? Var adgangen til kritiske systemer styret? Var softwareleverandørerne sikkerhedsvurderet? Uden en struktureret ramme bliver det kaotisk og ofte resultatløst at dokumentere fornøden omhu.

Hvordan god praksis ser ud

Efterlevelse af NIS2 behøver ikke at betyde, at man opfinder det hele forfra. Et ledelsessystem for informationssikkerhed (ISMS), der bygger på ISO/IEC 27001:2022, giver det rette fundament. Standarden er udformet til at hjælpe organisationer med systematisk at styre informationssikkerhedsrisici. Denne indbyggede sammenhæng betyder, at du ved at implementere ISO 27001 samtidig opbygger netop de kapabiliteter og den dokumentation, som NIS2 kræver. Det omsætter en krævende regulatorisk byrde til et struktureret og håndterbart projekt, der skaber konkret forretningsværdi ud over ren efterlevelse.

Sammenhængen er tydelig på tværs af flere områder. NIS2’s krav om risikovurdering og sikkerhedspolitikker er selve kernen i ISO 27001 klausul 4 til 8. Direktivets stærke fokus på sikkerhed i forsyningskæden adresseres direkte af Annex A-kontroller som 5.19, 5.20 og 5.21, der omhandler sikkerhed i leverandørrelationer. Tilsvarende opfyldes NIS2-krav om hændelseshåndtering og forretningskontinuitet ved at implementere kontrollerne 5.24 til 5.30. Ved at bruge ISO 27001 etablerer du ét sammenhængende system, der opfylder flere krav, sparer tid, reducerer dobbeltarbejde og giver en klar forklaring til auditorer og tilsynsmyndigheder. Vores omfattende kontrolbibliotek, Zenith Controls¹, hjælper dig med at kortlægge disse krav præcist.

Forestil dig en mindre leverandør af administrerede services (MSP), der drifter infrastruktur for et lokalt hospital. Hospitalet er en “væsentlig enhed” under NIS2 og skal sikre, at dets leverandører har et tilstrækkeligt sikkerhedsniveau. Ved at opnå ISO 27001-certificering kan MSP’en straks levere internationalt anerkendt sikkerhed for, at den har et robust ISMS. Den kan henvise til sin risikovurdering, sin anvendelighedserklæring (SoA) og sine interne revisionsrapporter som konkret dokumentation for efterlevelse. Det opfylder ikke alene hospitalets krav om fornøden omhu under NIS2, men bliver også en stærk konkurrencemæssig differentiering, der åbner døre til mere forretning i regulerede brancher.

Praktisk fremgangsmåde

At opbygge et ISMS, der er tilpasset både ISO 27001 og NIS2, er et strategisk projekt, ikke blot en IT-opgave. Det kræver en metodisk tilgang, der starter med at forstå organisationen og dens risici og derefter systematisk implementerer kontroller til at håndtere dem. Ved at opdele arbejdet i logiske faser kan selv et lille team skabe stabil og dokumenterbar fremdrift. Denne fremgangsmåde sikrer, at du opbygger et system, der ikke kun er i overensstemmelse med kravene, men også reelt beskytter virksomheden. Målet er at etablere et bæredygtigt sikkerhedsprogram, ikke blot at bestå en audit.

Fase 1: Etabler fundamentet (uge 1-4)

Første fase handler om at skabe grundlaget. Før du kan styre risici, skal du forstå din kontekst. Det indebærer at definere, hvad du forsøger at beskytte (omfanget), sikre ledelsens forpligtelse og identificere alle juridiske og regulatoriske forpligtelser, hvor NIS2 er en væsentlig drivkraft. Dette grundlæggende arbejde, styret af ISO 27001 klausul 4 og 5, er afgørende for at sikre, at dit ISMS er afstemt med forretningsmålene og har den nødvendige organisatoriske forankring. Uden et klart omfang og ledelsesmæssig opbakning vil selv de bedste tekniske indsatser vakle.

• Definér ISMS-omfanget: Dokumentér klart, hvilke dele af virksomheden, systemerne og lokationerne der er omfattet.
• Sikr ledelsens forpligtelse: Få formel godkendelse og ressourcer fra den øverste ledelse. Dette er et ufravigeligt krav i både ISO 27001 og NIS2.
• Identificér interessenter og krav: Oplist alle interessenter (kunder, tilsynsmyndigheder, partnere) og deres sikkerhedsforventninger, herunder de specifikke artikler i NIS2.
• Etablér implementeringsteamet: Tildel roller og ansvar for opbygning og vedligeholdelse af ISMS’et.

Fase 2: Vurdér risici, og planlæg risikobehandlingen (uge 5-8)

Dette er kernen i dit ISMS. Her identificerer, analyserer og evaluerer du systematisk informationssikkerhedsrisici. Processen skal være formel og gentagelig. Du identificerer dine kritiske aktiver, de trusler der kan skade dem, og de sårbarheder der eksponerer dem. Resultatet er en prioriteret liste over risici, som gør det muligt at træffe informerede beslutninger om, hvor ressourcerne skal fokuseres. Denne risikovurdering opfylder direkte det centrale krav i NIS2 Article 21 og giver et forsvarligt grundlag for din sikkerhedsstrategi. Vores implementeringsblueprint leverer de nødvendige værktøjer, herunder et forudbygget risikoregister, der effektiviserer processen. Zenith Blueprint²

• Opret en aktivfortegnelse: Dokumentér alle væsentlige informationsaktiver, herunder data, software, hardware og tjenester.
• Gennemfør en risikovurdering: Brug en defineret metode til at identificere trusler og sårbarheder for hvert aktiv, og beregn derefter risikoniveauer.
• Vælg muligheder for risikobehandling: For hver væsentlig risiko skal det besluttes, om den skal reduceres, accepteres, undgås eller overføres.
• Udarbejd en risikobehandlingsplan: For de risici, du vælger at reducere, skal du vælge passende kontroller fra ISO 27001 Annex A og dokumentere planen for implementering af dem.
• Udarbejd anvendelighedserklæringen (SoA): Dokumentér, hvilke af de 93 Annex A-kontroller der er relevante for organisationen og hvorfor, og begrund eventuelle fravalg.

Fase 3: Implementér kontroller, og opbyg dokumentation (uge 9-16)

Når planen er på plads, skal den gennemføres. Denne fase omfatter implementering af de politikker, procedurer og tekniske kontroller, der er identificeret i risikobehandlingsplanen. Det er her, teorien omsættes til praksis. Du kan eksempelvis indføre multifaktorgodkendelse, udarbejde en ny politik for sikkerhedskopiering eller træne medarbejdere i phishingbevidsthed. Det er afgørende at dokumentere alt, hvad du gør. For hver kontrol, du implementerer, skal du frembringe dokumentation for, at den fungerer effektivt. Denne dokumentation er nødvendig for interne og eksterne audits og for at dokumentere NIS2-efterlevelse over for tilsynsmyndigheder.

• Implementér tekniske kontroller: Implementér sikkerhedsforanstaltninger som firewalls, kryptering, adgangsstyring og logning.
• Udarbejd og kommunikér politikker: Udarbejd og offentliggør centrale politikker for områder som acceptabel brug, adgangsstyring og hændelseshåndtering.
• Gennemfør bevidsthedstræning i informationssikkerhed: Træn alle medarbejdere i deres ansvar for informationssikkerhed.
• Etablér overvågning og måling: Opsæt processer til at overvåge kontrolernes effektivitet og måle ISMS’ets resultater.

Fase 4: Overvåg, auditér og forbedr løbende (løbende)

Et ISMS er ikke et engangsprojekt; det er en kontinuerlig forbedringscyklus. Denne sidste fase, styret af ISO 27001 klausul 9 og 10, handler om at sikre, at ISMS’et forbliver effektivt over tid. Du skal gennemføre regelmæssige interne audits for at kontrollere efterlevelse og identificere svagheder. Ledelsen skal gennemgå ISMS’ets resultater for at sikre, at det fortsat opfylder forretningsmålene. Eventuelle problemer eller afvigelser skal formelt registreres og korrigeres. Denne løbende proces med overvågning og forbedring er præcis det, NIS2-tilsynsmyndigheder ønsker at se, fordi den dokumenterer organisationens forpligtelse til at opretholde et stærkt sikkerhedsniveau.

• Gennemfør interne audits: Gennemgå periodisk ISMS’et mod kravene i ISO 27001 og organisationens egne politikker.
• Afhold ledelsens gennemgang: Præsenter ISMS’ets resultater for den øverste ledelse, og træf strategiske beslutninger.
• Håndtér afvigelser: Implementér en formel proces til at identificere, dokumentere og løse problemer eller efterlevelseshuller.
• Forbered certificeringsaudit: Indgå aftale med et eksternt certificeringsorgan om at få ISMS’et formelt auditeret og certificeret.

Politikker der forankrer arbejdet

Politikker er rygraden i dit ISMS. De omsætter sikkerhedsstrategien til klare og håndhævelige regler for hele organisationen. For NIS2-efterlevelse er veldefinerede og konsekvent anvendte politikker ikke blot god praksis; de er et krav. Dokumenterne giver tydelig vejledning til medarbejdere, fastsætter forventninger til leverandører og fungerer som kritisk dokumentation for auditorer og tilsynsmyndigheder. De viser, at organisationens tilgang til sikkerhed er bevidst og systematisk, ikke reaktiv og ad hoc. To af de mest grundlæggende politikker, der understøtter både ISO 27001 og NIS2, er politik for styring af aktiver og politik for sikkerhedskopiering og gendannelse.

Politik for styring af aktiver³ er udgangspunktet for alle sikkerhedsindsatser. Du kan ikke beskytte det, du ikke ved, du har. Denne politik etablerer en formel proces for identifikation, klassificering og styring af alle informationsaktiver gennem hele deres livscyklus. For NIS2 er en omfattende aktivfortegnelse afgørende for afgrænsning af risikovurderingen. Den sikrer synlighed over alle systemer, applikationer og data, der understøtter kritiske tjenester. Uden den arbejder du i blinde og efterlader sandsynligvis væsentlige huller i sikkerhedsdækningen. Politikken sikrer, at ansvar er tydeligt placeret, og at alle kritiske komponenter indgår i sikkerhedsprogrammet.

Lige så vigtig er Politik for sikkerhedskopiering og gendannelse⁴. NIS2 Article 21 kræver eksplicit foranstaltninger for forretningskontinuitet, såsom styring af sikkerhedskopiering og genopretning efter alvorlige hændelser. Denne politik definerer reglerne for, hvilke data der sikkerhedskopieres, hvor ofte, hvor sikkerhedskopier opbevares, og hvordan de testes. Ved en forstyrrende hændelse som et ransomwareangreb er en velfungerende strategi for sikkerhedskopiering ofte det eneste, der adskiller en hurtig gendannelse fra et katastrofalt forretningssvigt. Politikken giver ledelsen, kunder og tilsynsmyndigheder sikkerhed for, at organisationen har en troværdig plan for at opretholde operationel robusthed og gendanne kritiske tjenester rettidigt, hvilket direkte opfylder et centralt krav i direktivet.

En mindre ingeniørvirksomhed, der designer komponenter til energisektoren, implementerede en formel politik for styring af aktiver. Ved at katalogisere designservere, CAD-softwarelicenser og følsomme kundedata identificerede virksomheden sine mest kritiske aktiver. Det gjorde det muligt at fokusere et begrænset sikkerhedsbudget på at beskytte disse højværdimål med stærkere adgangsstyring og kryptering og dermed dokumentere en moden, risikobaseret tilgang under en leverandøraudit fra en større energikunde.

Tjeklister

For at hjælpe dig gennem forløbet følger her tre praktiske tjeklister. De er udformet til at guide dig gennem de vigtigste faser i opbygning, drift og verifikation af dit ISMS, så du dækker de væsentlige krav i både ISO/IEC 27001:2022 og NIS2-direktivet.

Opbygning: Etablering af ISO 27001-rammen for NIS2-efterlevelse

Før du kan drive et ISMS, der opfylder kravene, skal det bygges på et solidt fundament. Denne indledende fase handler om planlægning, afgrænsning og sikring af nødvendig opbakning og ressourcer. En fejl her kan underminere hele projektet. Tjeklisten dækker de væsentlige strategiske trin, der kræves for at definere dit ISMS og tilpasse det til de risikostyringsprincipper, der ligger til grund for NIS2.

• Sikr formel ledelsesgodkendelse og budget til ISMS-projektet.
• Definér og dokumentér ISMS’ets omfang med eksplicit henvisning til tjenester, der er omfattet af NIS2.
• Identificér alle relevante juridiske, regulatoriske (NIS2) og kontraktlige krav.
• Etablér en aktivfortegnelse over alle informationer, hardware, software og tjenester inden for omfanget.
• Gennemfør en formel risikovurdering for at identificere trusler og sårbarheder mod centrale aktiver.
• Udarbejd en risikobehandlingsplan, der beskriver de kontroller, der er valgt til at reducere identificerede risici.
• Udarbejd en anvendelighedserklæring (SoA), der begrunder inkludering og fravalg af alle 93 Annex A-kontroller.
• Udarbejd og godkend grundlæggende politikker, herunder informationssikkerhedspolitik, politik for styring af aktiver og politik for acceptabel brug.

Drift: Opretholdelse af daglig sikkerhedshygiejne

Efterlevelse er ikke en engangsbegivenhed. Den er resultatet af konsekvent, daglig driftsdisciplin. Denne tjekliste fokuserer på de løbende aktiviteter, der holder dit ISMS effektivt og organisationen sikker. Det er de praktiske foranstaltninger, der dokumenterer over for auditorer og tilsynsmyndigheder, at sikkerhedsprogrammet er aktivt og velfungerende, ikke blot en samling dokumenter på en hylde.

• Gennemfør regelmæssig bevidsthedstræning i informationssikkerhed for alle medarbejdere, herunder phishing-simuleringer.
• Håndhæv adgangsstyringsprocedurer, herunder regelmæssig gennemgang af brugerrettigheder og privilegeret adgang.
• Håndtér tekniske sårbarheder ved at implementere en systematisk patchstyringsproces.
• Overvåg systemer og netværk for sikkerhedshændelser og usædvanlig aktivitet.
• Gennemfør og test procedurer for sikkerhedskopiering og gendannelse af data i overensstemmelse med politikken.
• Styr ændringer i systemer og applikationer gennem en formel proces for ændringsstyring.
• Før tilsyn med leverandørsikkerhed gennem regelmæssige gennemgange og vurderinger af nøgleleverandører.
• Oprethold fysisk sikring af lokationer, herunder adgangsstyring til følsomme områder.

Verifikation: Audit og forbedring af dit ISMS

Den sidste del af puslespillet er verifikation. Du skal regelmæssigt kontrollere, at kontrollerne fungerer efter hensigten, og at ISMS’et opfylder sine mål. Denne sløjfe for løbende forbedring er et kerneprincip i ISO 27001 og en central forventning i NIS2. Tjeklisten dækker de verifikationsaktiviteter, der giver ledelsen og interessenter tillid til organisationens sikkerhedsniveau.

• Planlæg og gennemfør en fuld intern audit af ISMS’et mod ISO 27001-kravene.
• Udfør regelmæssige penetrationstest eller sårbarhedsscanninger på kritiske systemer.
• Test hændelseshåndteringsplanen med scenarieøvelser eller fulde simuleringer.
• Test planer for genopretning efter alvorlige hændelser og forretningskontinuitet.
• Afhold formelle møder om ledelsens gennemgang for at vurdere ISMS’ets resultater og allokere ressourcer.
• Spor alle auditobservationer og afvigelser i et register for korrigerende handlinger, indtil de er løst.
• Indsaml og analysér målepunkter for sikkerhedskontrollernes effektivitet.
• Opdater risikovurderingen mindst én gang årligt eller ved væsentlige ændringer.

Almindelige faldgruber

Vejen mod samlet efterlevelse af ISO 27001 og NIS2 er krævende, og flere almindelige fejl kan afspore selv velmente indsatser. Kendskab til faldgruberne kan hjælpe dig med at undgå dem.

• Undervurdering af kravet til forsyningskæden: NIS2 lægger et hidtil uset fokus på sikkerhed i forsyningskæden. Mange SMV’er fokuserer kun på interne kontroller og glemmer at udvise fornøden omhu over for kritiske leverandører. Hvis din cloududbyder eller softwareleverandør får et sikkerhedssvigt, der påvirker dig, er du stadig ansvarlig under NIS2. Du skal have en proces til at vurdere og styre leverandørrisiko.
• Behandling som et rent IT-projekt: Selvom IT er stærkt involveret, er informationssikkerhed et forretningsanliggende. Uden reel opbakning og lederskab fra toppen vil ISMS’et mangle den nødvendige myndighed og de nødvendige ressourcer. NIS2 placerer specifikt ansvar hos ledelsen, så den skal være aktivt involveret i governance og risikobeslutninger.
• Udarbejdelse af hyldedokumenter: Den største faldgrube er at skabe et flot dokumentsæt, som ingen følger. Et ISMS er et levende system. Hvis politikkerne ikke kommunikeres, procedurerne ikke følges, og kontrollerne ikke overvåges, har du kun opnået en falsk tryghed. Auditorer og tilsynsmyndigheder vil søge driftsdokumentation, ikke kun dokumenter på papir.
• Dårlig eller uklar afgrænsning: Et omfang, der er defineret for bredt, kan gøre projektet uhåndterligt for en SMV. Et omfang, der er defineret for snævert, kan udelade kritiske systemer, der er omfattet af NIS2, og skabe et væsentligt efterlevelseshul. Omfanget skal overvejes nøje og afstemmes klart med kritiske tjenester og forretningsmål.
• Manglende test af hændelseshåndtering: En hændelseshåndteringsplan er et grundlæggende krav. Hvis den aldrig er testet, vil den sandsynligvis svigte under en reel krise. NIS2 har meget stramme rapporteringsfrister (en indledende rapport inden for 24 timer). En scenarieøvelse kan hurtigt afdække huller i planen, f.eks. manglende viden om, hvem der skal kontaktes, eller hvordan de rigtige oplysninger hurtigt indsamles.

En mindre virksomhed inden for finansielle tjenester opnåede ISO 27001-certificering, men havde kun drøftet sin hændelseshåndteringsplan på møder. Da virksomheden blev ramt af et mindre brud på persondatasikkerheden, var teamet uforberedt. De brugte timer på at diskutere, hvem der havde beføjelse til at kontakte cyberforsikringsselskabet, og havde svært ved at indsamle de nødvendige undersøgelsesdata, så de var tæt på at overskride fristen for regulatorisk rapportering.

Næste skridt

Er du klar til at opbygge et robust sikkerhedsniveau, der opfylder både ISO 27001 og NIS2? Vores værktøjspakker giver dig de politikker, skabeloner og den vejledning, du har brug for til at accelerere din efterlevelsesrejse.

• Zenith Suite
• Complete SME + Enterprise Combo Pack
• Full SME Pack

Referencer