Gennem stormen: Sådan omdefinerer NIS2 og DORA europæisk compliance

EU’s NIS2-direktiv og DORA-forordning ændrer compliancekravene til cybersikkerhed og stiller skærpede krav til risikostyring, hændelsesrapportering og digital operationel robusthed. Denne vejledning gennemgår deres betydning, viser den tætte sammenhæng med ISO 27001 og giver CISO’er og forretningsledere en praktisk, trinvis vej til beredskab.

Indledning

Det europæiske compliance-landskab gennemgår sin mest markante transformation i en generation. Med fristen i oktober 2024 for national gennemførelse af direktivet om net- og informationssikkerhed (NIS2) og Digital Operational Resilience Act (DORA), der finder fuld anvendelse i januar 2025, er tiden, hvor cybersikkerhed kunne behandles som en bagvedliggende IT-funktion, definitivt forbi. De to regelsæt udgør et paradigmeskifte: Cybersikkerhed og operationel robusthed placeres centralt i virksomhedsstyringen, og ledelsesorganer gøres direkte ansvarlige for svigt.

For CISO’er, compliance-ansvarlige og virksomhedsejere er dette ikke blot endnu et rammeværk, som kontroller skal mappes imod. Det er et krav om en ledelsesforankret, risikobaseret og dokumenterbart robust sikkerhedstilstand. NIS2 udvider forgængerens anvendelsesområde til en lang række “væsentlige” og “vigtige” enheder, mens DORA pålægger hele EU’s finansielle sektor og dens kritiske teknologiudbydere strenge og harmoniserede krav. Indsatsen er højere, kravene er mere præskriptive, og sanktionerne ved manglende efterlevelse er alvorlige. Denne artikel fungerer som din vejledning gennem det nye landskab med ISO 27001 som praktisk fundament for efterlevelse af både NIS2 og DORA.

Hvad er på spil

Konsekvenserne ved ikke at opfylde forpligtelserne i NIS2 og DORA rækker langt ud over en mild påtale. Reglerne indfører betydelige økonomiske sanktioner, personligt ledelsesansvar og risiko for alvorlige driftsafbrydelser. At forstå alvoren i disse risici er første skridt mod at opbygge en stærk forretningsmæssig begrundelse for investeringer og organisatoriske ændringer.

Særligt NIS2 hæver de økonomiske risici markant. Som vores omfattende vejledning, Zenith Controls, præciserer, er sanktionerne udformet til at få opmærksomhed på bestyrelsesniveau.

For væsentlige enheder kan bøder nå op på €10 millioner eller 2 % af den samlede globale årlige omsætning i det foregående regnskabsår, alt efter hvad der er højest. For vigtige enheder er den maksimale bøde €7 millioner eller 1,4 % af den samlede globale årlige omsætning.

Disse beløb kan sammenlignes med GDPR-niveauet og signalerer EU’s hensigt om at håndhæve cybersikkerhedsstandarder konsekvent. Selv om reglerne er harmoniseret på EU-niveau, kan de konkrete sanktionsstrukturer fortsat variere en smule afhængigt af, hvordan den enkelte medlemsstat gennemfører NIS2 i national ret. Risikoen er dog ikke kun økonomisk. NIS2 indfører mulighed for midlertidige forbud mod at bestride ledelsesposter for personer, der vurderes ansvarlige for brud, hvilket gør cybersikkerhed til et spørgsmål om personligt ansvar for administrerende direktører og bestyrelsesmedlemmer.

DORA fokuserer på den finansielle sektor, men skaber sit eget pres. Det primære mål er at sikre kontinuiteten i kritiske finansielle tjenester, også under betydelige IKT-driftsforstyrrelser. Risikoen er her systemisk. Et svigt hos én finansiel enhed eller hos en af dens kritiske IKT-tredjepartsudbydere kan få kaskadeeffekter på tværs af den europæiske økonomi. DORA skal forebygge dette ved at håndhæve et højt niveau af digital operationel robusthed. Manglende efterlevelse kan ikke alene medføre bøder, men også tab af driftstilladelser og katastrofal omdømmeskade i en sektor, der bygger på tillid.

Den driftsmæssige påvirkning er tilsvarende krævende. Begge regelsæt stiller krav om stramme frister for hændelsesrapportering. NIS2 kræver en indledende underretning til kompetente myndigheder inden for 24 timer efter, at organisationen er blevet bekendt med en væsentlig hændelse, efterfulgt af en mere detaljeret rapport inden for 72 timer. Den komprimerede tidslinje lægger betydeligt pres på hændelseshåndteringsteams og kræver modne, velafprøvede processer, som mange organisationer endnu ikke har. Fokus er ikke længere kun på inddæmning og genopretning, men også på hurtig og gennemsigtig kommunikation med tilsynsmyndigheder.

Hvordan et godt niveau ser ud

I denne nye æra med skærpet kontrol handler “godt” ikke længere om at have politikker liggende på en hylde eller opnå en certificering på et bestemt tidspunkt. Det handler om at have en tilstand af løbende, dokumenterbar operationel robusthed. Det kræver et skifte fra en reaktiv, compliance-drevet tilgang til en proaktiv, risikoinformeret kultur, hvor cybersikkerhed er indarbejdet i forretningens måde at fungere på. En organisation, der navigerer effektivt i NIS2- og DORA-landskabet, vil udvise flere centrale karakteristika, hvoraf mange udspringer af principperne i et velfungerende ledelsessystem for informationssikkerhed (ISMS) baseret på ISO 27001.

Det overordnede mål er en tilstand, hvor organisationen med sikkerhed kan modstå, reagere på og komme sig efter IKT-driftsforstyrrelser, samtidig med at kritiske aktiver og tjenester beskyttes. Det kræver dyb forståelse af forretningsprocesserne og den teknologi, der understøtter dem. Som Zenith Controls beskriver, er formålet med reglerne at skabe en robust digital infrastruktur på tværs af EU.

Det primære formål med NIS2-direktivet er at opnå et højt fælles cybersikkerhedsniveau i Unionen. Direktivet har til formål at styrke både den offentlige og private sektors robusthed og kapacitet til hændelseshåndtering.

At opnå dette “høje fælles niveau” betyder, at organisationen skal implementere et samlet sikkerhedsprogram, der dækker styring, risikostyring, beskyttelse af aktiver, hændelseshåndtering og leverandørsikkerhed. En moden organisation har en tydelig sammenhæng fra bestyrelsens risikovillighed ned til konkrete tekniske kontroller. Ledelsen godkender ikke blot budgettet; den deltager aktivt i risikostyringsbeslutninger, som krævet af både NIS2 (Article 20) og DORA (Article 5).

Denne ideelle tilstand er kendetegnet ved proaktiv, efterretningsbaseret sikkerhed. I stedet for blot at reagere på alarmer indsamler og analyserer organisationen aktivt trusselsintelligens for at forudse og afbøde potentielle angreb. Det er direkte i tråd med ISO/IEC 27002:2022-kontrol 5.7 (trusselsintelligens), en praksis der nu er en udtrykkelig forventning under begge nye regelsæt.

Derudover skal robusthed testes, ikke antages. Et godt niveau er en organisation, der regelmæssigt gennemfører realistiske test af sine hændelseshåndteringsplaner og planer for forretningskontinuitet. For udpegede finansielle enheder under DORA kan dette omfatte avanceret trusselsstyret penetrationstest (Threat-Led Penetration Testing, TLPT), en stringent simulering af realistiske angrebsscenarier. Ikke alle organisationer er omfattet, men for dem, der er, er TLPT et bindende krav. Denne testkultur sikrer, at planerne ikke blot er teoretiske dokumenter, men anvendelige playbooks, der fungerer under pres.

Kobling til ISO 27001:2022-kontroltemaer

ISO 27001:2022’s Anneks A-kontroller, som uddybet i ISO/IEC 27002:2022, udgør rygraden i et moderne ISMS. Som fremhævet i Zenith Controls: The Cross-Compliance Guide,

Kontroller som A.5.7 (Threat Intelligence), A.5.23 (Information Security for Use of Cloud Services) og A.5.29 (Supplier Relationships) henvises der direkte til i implementeringsvejledninger for både NIS2 og DORA, hvilket understreger deres centrale betydning for tværregulatorisk efterlevelse. Organisationer, der fuldt ud implementerer og dokumenterer disse kontroller, står stærkt, men skal fortsat adressere de specifikke krav til rapportering, styring og robusthed, som de nye regelsæt indfører.

Den praktiske vej: trinvis vejledning

At opnå efterlevelse af NIS2 og DORA kan virke som en monumental opgave, men den bliver håndterbar, når den opdeles i centrale sikkerhedsdomæner. Ved at anvende den strukturerede tilgang i et ISO 27001-tilpasset ISMS kan organisationer systematisk opbygge de nødvendige kapaciteter. Her er en praktisk vej frem, baseret på etablerede politikker og bedste praksis.

1. Etabler stærk styring og ansvarlighed

Begge regelsæt placerer det endelige ansvar hos “ledelsesorganet”. Det betyder, at cybersikkerhed ikke længere kan delegeres til IT-afdelingen alene. Bestyrelsen skal forstå, føre tilsyn med og godkende rammeværket for cybersikkerhedsrisikostyring.

Første skridt er at formalisere strukturen. Organisationens politikker skal afspejle denne ledelsesforankrede tilgang. Ifølge P01S Ramme for informationssikkerhedspolitikker - SMV, et grundlæggende dokument for ethvert ISMS, kræver selve politikrammen udtrykkelig godkendelse fra øverste niveau.

Informationssikkerhedspolitikker skal godkendes af ledelsen, offentliggøres og kommunikeres til medarbejdere og relevante eksterne parter.

Det betyder, at ledelsen er aktivt involveret i at fastlægge retningen. Dette understøttes yderligere ved at definere klare roller. P02S Politik for styringsroller og ansvarsområder - SMV angiver, at “ansvar for informationssikkerhed skal defineres og tildeles”, så der ikke er uklarhed om, hvem der ejer hvilke dele af sikkerhedsprogrammet. For NIS2 og DORA skal dette omfatte en udpeget person eller komité med ansvar for at rapportere efterlevelsesstatus direkte til ledelsesorganet.

Nøglehandlinger:

• Udpeg en sponsor på bestyrelsesniveau for cybersikkerhed og robusthed.
• Planlæg regelmæssige bestyrelsesgennemgange af ISMS-performance og regulatorisk efterlevelse.
• Dokumentér beslutninger, handlinger og revisionsbevis.

2. Implementér en omfattende ramme for risikostyring

Revurdér og opdatér jeres risikovurderingsproces. Som beskrevet i Implementation Guide for Risk Assessment Methodology kræver “NIS2 og DORA dynamiske, trusselsdrevne risikovurderinger, der går ud over statiske, årlige gennemgange. Organisationer skal integrere trusselsintelligens (A.5.7) og sikre, at risikovurderinger opdateres som reaktion på ændringer i trusselslandskabet eller forretningsmiljøet.” Zenith Controls. NIS2 går videre end generisk risikovurdering ved i Article 21 at kræve konkrete risikostyringsforanstaltninger, herunder sikkerhed i forsyningskæden, hændelseshåndtering, forretningskontinuitet og anvendelse af kryptografi. Disse krav skal være dokumenterbart implementeret og gennemgås regelmæssigt, hvilket tydeliggør, at efterlevelse ikke kun handler om dokumentation, men om dokumenterbar operationel praksis.

Nøglehandlinger:

• Indarbejd trusselsintelligens i realtid i risikovurderinger.
• Sørg for, at risikovurderinger eksplicit dækker forsyningskæden og IKT-tredjepartsrisici (A.5.29).
• Dokumentér og underbyg processen for gennemgang og opdatering.

Processen skal være kontinuerlig og iterativ, ikke en årlig afkrydsningsøvelse. Den omfatter alt fra sikkerhed i forsyningskæden til medarbejdernes sikkerhedsbevidsthed.

3. Styrk hændelseshåndtering og rapportering

De strenge rapporteringsfrister i NIS2 (indledende underretning inden for 24 timer) og DORA’s detaljerede klassificerings- og rapporteringsordning kræver en meget moden funktion for hændelsesstyring. Det kræver mere end et SOC; det kræver en veldefineret og indøvet plan.

P30S Politik for hændelseshåndtering - SMV giver grundlaget for denne kapacitet. Den understreger, at “organisationen skal planlægge og forberede håndtering af informationssikkerhedshændelser ved at definere, etablere og kommunikere processer, roller og ansvarsområder for styring af informationssikkerhedshændelser.” Hændelseshåndtering er et centralt fokuspunkt i både NIS2 og DORA. Information Security Incident Management Policy (Section 4.2) angiver:

Organisationer skal implementere procedurer til at detektere, rapportere og reagere på hændelser inden for de tidsfrister, der kræves efter gældende regler, og opbevare detaljerede registreringer til revisionsformål.

Centrale elementer, der skal implementeres, omfatter:

• En klar definition af en “væsentlig hændelse”, der starter rapporteringsfristen for NIS2 og DORA.
• Foruddefinerede kommunikationskanaler og skabeloner til rapportering til tilsynsmyndigheder, CSIRT’er og andre interessenter.
• Regelmæssige øvelser og tabletop-øvelser for at sikre, at responsteamet kan eksekvere planen effektivt under pres.
• Processer for efterhændelsesgennemgang for at lære af hver hændelse og løbende forbedre responsevnen.

4. Styrk forsyningskæden og tredjepartsrisikostyringen

DORA løfter især styring af IKT-tredjepartsrisiko fra en due diligence-aktivitet til en central disciplin for operationel robusthed. Finansielle enheder er nu udtrykkeligt ansvarlige for deres kritiske IKT-udbyderes robusthed. NIS2 kræver også, at enheder adresserer risici, der udspringer af deres leverandører.

Politik for tredjeparts- og leverandørsikkerhed, Section 5.2 - SMV kræver, at:

Før indgåelse af samarbejde skal hver leverandør gennemgås for potentielle risici.

Den beskriver også de nødvendige kontroller og angiver, at “organisationens krav til informationssikkerhed skal aftales med leverandører og dokumenteres.” For DORA og NIS2 går dette videre:

• Vedligehold et register over alle IKT-tredjepartsudbydere med en tydelig markering af dem, der vurderes som “kritiske”.
• Sørg for, at kontrakter indeholder specifikke klausuler om sikkerhedskontroller, revisionsrettigheder og exitstrategier. DORA er meget præskriptiv på dette område.
• Gennemfør regelmæssige risikovurderinger af kritiske leverandører, ikke kun ved onboarding, men gennem hele relationens livscyklus.
• Udarbejd beredskabsplaner for svigt eller ophør af et kritisk leverandørforhold for at sikre tjenestekontinuitet.

5. Opbyg og test robusthed

Endelig handler begge regelsæt grundlæggende om robusthed. Organisationen skal kunne opretholde kritiske driftsaktiviteter under og efter en cybersikkerhedshændelse. Det kræver et omfattende program for forretningskontinuitetsstyring (BCM).

Politik for forretningskontinuitet og katastrofeberedskab - SMV understreger behovet for at indarbejde sikkerhed i BCM-planlægningen. Den angiver: “Organisationen skal fastlægge sine krav til informationssikkerhed og kontinuiteten i informationssikkerhedsstyringen under ugunstige forhold.” Det betyder, at BCM-planer og planer for genopretning efter alvorlige hændelser (DR) skal udformes med cyberangreb for øje. Centrale handlinger omfatter:

• Gennemførelse af forretningskonsekvensanalyser (BIA’er) for at identificere kritiske processer og deres genoprettelsestidsmål (Recovery Time Objectives, RTO’er).
• Udarbejdelse og dokumentation af BCM- og DR-planer, der er klare, handlingsorienterede og tilgængelige.
• Regelmæssig test af planerne gennem realistiske scenarier, herunder simuleringer af cyberangreb. DORA’s krav om Threat-Led Penetration Testing for udpegede enheder er det højeste niveau for denne praksis.

Ved at følge disse trin og indlejre dem i et ISO 27001-tilpasset ISMS kan organisationer opbygge et forsvarligt og effektivt complianceprogram, der lever op til det høje niveau, som både NIS2 og DORA kræver.

Sammenhængen: indsigter om tværgående efterlevelse

En af de mest effektive måder at håndtere NIS2 og DORA på er at anerkende deres betydelige overlap med eksisterende, globalt anerkendte standarder, især ISO/IEC 27001- og 27002-rammen. Ved at se de nye regelsæt gennem ISO-kontrollernes optik kan organisationer udnytte deres eksisterende ISMS-investeringer og undgå at opfinde den dybe tallerken igen.

Zenith Controls giver vigtige krydshenvisninger, der tydeliggør sammenhængene og viser, hvordan en enkelt kontrol fra ISO/IEC 27002:2022 kan bidrage til at opfylde krav fra flere regelsæt.

Styring og politik (ISO/IEC 27002:2022-kontrol 5.1): Kravet om ledelsesorganets tilsyn er en hjørnesten i både NIS2 og DORA. Det passer direkte med kontrol 5.1, der fokuserer på at etablere klare politikker for informationssikkerhed. Som Zenith Controls forklarer, er denne kontrol grundlæggende for at dokumentere ledelsens forpligtelse.

Denne kontrol understøtter direkte NIS2 Article 20, som gør ledelsesorganer ansvarlige for at føre tilsyn med implementeringen af foranstaltninger til cybersikkerhedsrisikostyring. Den er også i overensstemmelse med DORA Article 5, som kræver, at ledelsesorganet definerer, godkender og fører tilsyn med rammeværket for digital operationel robusthed.

Ved at implementere en robust politikramme, som er godkendt og regelmæssigt gennemgået af ledelsen, skaber organisationen det primære bevismateriale, der kræves for at opfylde disse centrale styringsartikler.

Hændelsesstyring (ISO/IEC 27002:2022-kontrol 5.24): De krævende krav til hændelsesrapportering i begge regelsæt adresseres direkte gennem en moden hændelsesstyringsplan. Kontrol 5.24 (planlægning og forberedelse af styring af informationssikkerhedshændelser) giver strukturen for dette. Sammenhængen er eksplicit:

Denne kontrol er afgørende for efterlevelse af NIS2 Article 21(2), som kræver foranstaltninger til håndtering af sikkerhedshændelser, og Article 23, som fastsætter strenge tidsfrister for hændelsesrapportering. Den mapper også til DORA’s detaljerede proces for hændelsesstyring i Article 17, som omfatter klassificering og rapportering af større IKT-relaterede hændelser.

En veldokumenteret og testet hændelseshåndteringsplan baseret på denne kontrol er ikke blot god praksis; den er en direkte forudsætning for efterlevelse af NIS2 og DORA.

IKT-tredjepartsrisiko (ISO/IEC 27002:2022-kontrol 5.19): DORA’s stærke fokus på forsyningskæden er et af forordningens kendetegn. Kontrol 5.19 (informationssikkerhed i leverandørrelationer) giver rammeværket for styring af disse risici. Zenith Controls fremhæver denne vigtige kobling:

Denne kontrol er grundlæggende for at adressere de omfattende krav i DORA Chapter V om styring af IKT-tredjepartsrisiko. Den understøtter også NIS2 Article 21(2)(d), som kræver, at enheder sikrer deres forsyningskæders sikkerhed, herunder relationer mellem hver enhed og dens direkte leverandører.

Implementering af de processer, der beskrives i kontrol 5.19, såsom leverandørscreening, kontraktlige aftaler og løbende overvågning, opbygger præcis de kapaciteter, som DORA og NIS2 kræver.

Forretningskontinuitet (ISO/IEC 27002:2022-kontrol 5.30): I sin kerne handler DORA om robusthed. Kontrol 5.30 (IKT-parathed til forretningskontinuitet) er ISO’s tilsvarende princip. Sammenhængen er direkte og stærk.

Denne kontrol er hjørnestenen i opfyldelsen af DORA’s kerneformål, nemlig at sikre forretningskontinuitet og robusthed i IKT-systemer. Den understøtter direkte kravene i DORA Chapter III (Digital Operational Resilience Testing) og Chapter IV (Managing ICT Third-Party Risk). Den er også i overensstemmelse med NIS2 Article 21(2)(e), som kræver politikker for forretningskontinuitet, såsom backupstyring og katastrofeberedskab.

Ved at bygge jeres BCM-program op omkring denne kontrol bygger I samtidig fundamentet for DORA-efterlevelse. Det viser, at ISO 27001 ikke blot er et parallelt spor, men en direkte løftestang for at opfylde Europas nye regulatoriske krav.

Hurtigt overblik: ISO 27001 Anneks A vs. NIS2 vs. DORA

Denne tilpasning viser, hvordan en enkelt ISO-kontrol kan bidrage til at opfylde flere regulatoriske krav og gør ISO 27001 til en direkte løftestang for efterlevelse af NIS2 og DORA.

Forberedelse på kontrol: hvad revisorer vil spørge om

Når tilsynsmyndigheder eller revisorer banker på, vil de lede efter håndgribeligt bevismateriale for et levende sikkerheds- og robusthedsprogram, ikke blot et sæt dokumenter. De vil undersøge, om jeres politikker er implementeret, om kontrollerne er effektive, og om planerne er testet. Ved at forstå deres fokus kan I forberede det rette bevismateriale og sikre, at jeres teams er klar til at besvare vanskelige spørgsmål.

Vejledning fra Zenith Blueprint, en køreplan for revisorer, giver værdifuld indsigt i, hvad I kan forvente. Revisorer vil systematisk gennemgå centrale domæner, og I skal være forberedt på hvert enkelt.

Her er en tjekliste over, hvad revisorer vil anmode om, og hvad de vil gøre, baseret på deres metode:

1. Styring og ledelsens forpligtelse:

• Hvad de vil bede om: Bestyrelsesreferater, kommissorier for risikokomitéer og godkendte kopier af de centrale informationssikkerhedspolitikker.
• Hvad de vil gøre: Som beskrevet i Zenith Blueprint’s “Fase 1, trin 3: Forstå styringsrammen” vil revisorer “verificere, at ledelsesorganet formelt har godkendt ISMS-politikken og regelmæssigt orienteres om organisationens risikobillede.” De leder efter bevismateriale for aktiv involvering, ikke blot en underskrift på et år gammelt dokument.

2. Tredjepartsrisikostyring:

• Hvad de vil bede om: En fuldstændig fortegnelse over IKT-leverandører, kontrakter med kritiske udbydere, rapporter fra leverandørrisikovurderinger og bevismateriale for løbende overvågning.
• Hvad de vil gøre: Under “Fase 4, trin 22: Vurder tredjepartsrisikostyring” er revisorens fokus på due diligence og kontraktmæssig stringens. Zenith Blueprint nævner det centrale krævede bevismateriale: “Kontrakter, serviceniveauaftaler (SLA’er) og revisionsrapporter fra leverandører.” De vil gennemgå disse dokumenter grundigt for at sikre, at de indeholder de specifikke klausuler, som DORA kræver, såsom revisionsrettigheder og klare sikkerhedsforpligtelser.

3. Hændelseshåndtering og planer for forretningskontinuitet:

• Hvad de vil bede om: Jeres hændelseshåndteringsplan, plan for forretningskontinuitet, plan for genopretning efter alvorlige hændelser og, vigtigst af alt, resultaterne af de seneste test, øvelser og simuleringer.
• Hvad de vil gøre: Revisorer læser ikke blot jeres planer. Som beskrevet i “Fase 3, trin 15: Gennemgå hændelseshåndterings- og forretningskontinuitetsplaner” er deres fokus på “test og validering af planer.” De vil bede om efterhandlingsrapporter fra tabletop-øvelser, resultater fra penetrationstest (særligt TLPT-rapporter for DORA) og bevismateriale for, at konstateringer fra disse test er blevet fulgt til afhjælpning. En plan, der aldrig er testet, anses af en revisor for at være en plan, der ikke eksisterer.

4. Sikkerhedsbevidsthed og træning:

• Hvad de vil bede om: Træningsmaterialer, registreringer af gennemført træning for forskellige medarbejdergrupper (herunder ledelsesorganet) og resultater fra phishing-simuleringer.
• Hvad de vil gøre: I “Fase 2, trin 10: Evaluer sikkerhedsbevidsthed og træning” vil revisorer “vurdere træningsprogrammets effektivitet ved at gennemgå indhold, frekvens og gennemførelsesrater.” De vil se, at træningen er tilpasset specifikke roller, og at dens effektivitet måles.

Når dette bevismateriale er forberedt på forhånd, ændres en audit fra en stressende, reaktiv brandslukning til en struktureret demonstration af organisationens modenhed og forpligtelse til robusthed.

Almindelige faldgruber

Selv om vejen til efterlevelse af NIS2 og DORA er tydelig, kan flere almindelige faldgruber afspore selv velmente indsatser. At kende disse faldgruber er første skridt til at undgå dem.

1. “Kun IT”-tankegangen: At behandle NIS2 og DORA som et problem udelukkende for IT- eller cybersikkerhedsafdelingen er den mest almindelige fejl. Dette er regler på forretningsniveau med fokus på operationel robusthed. Uden opbakning og aktiv deltagelse fra ledelsesorganet og forretningsenhedsledere vil enhver efterlevelsesindsats ikke adressere de centrale krav til styring og risikoejerskab.

2. Undervurdering af forsyningskæden: Mange organisationer har en blind vinkel, når det gælder det reelle omfang af deres afhængighed af IKT-tredjepartsudbydere. DORA kræver især en dyb og udtømmende forståelse af dette økosystem. Det er ikke længere tilstrækkeligt blot at sende et sikkerhedsspørgeskema ud. Manglende korrekt identifikation af alle kritiske leverandører og manglende indarbejdelse af robuste krav til sikkerhed og robusthed i kontrakter er en væsentlig mangel i efterlevelsen.

3. “Papirbaseret” robusthed: At udarbejde detaljerede hændelseshåndteringsplaner og planer for forretningskontinuitet, der ser gode ud på papiret, men aldrig er testet i et realistisk scenarie. Revisorer og tilsynsmyndigheder vil gennemskue dette. Robusthed dokumenteres gennem handling, ikke kun gennem dokumentation. Manglende regelmæssig og stringent test er et tydeligt advarselstegn på, at organisationen ikke er forberedt på en reel krise.

4. Ignorering af trusselsintelligens: Blot at reagere på trusler er en tabende strategi. Både NIS2 og DORA kræver implicit og eksplicit en mere proaktiv, efterretningsbaseret tilgang til sikkerhed. Organisationer, der ikke etablerer en proces for indsamling, analyse og anvendelse af trusselsintelligens, vil have vanskeligt ved at dokumentere, at de styrer risiko effektivt, og vil altid være ét skridt bag angriberne.

5. At behandle efterlevelse som et engangsprojekt: NIS2 og DORA er ikke projekter med en slutdato. De etablerer et løbende krav om overvågning, rapportering og løbende forbedring. Organisationer, der ser dette som et kapløb frem mod en deadline og derefter reducerer ressourcerne, vil hurtigt komme ud af compliance og stå uforberedte til den næste audit eller, endnu værre, den næste hændelse.

Næste skridt

Rejsen mod efterlevelse af NIS2 og DORA er et maraton, ikke en sprint. Den kræver en strategisk og struktureret tilgang baseret på gennemprøvede rammeværker. Den mest effektive vej frem er at bruge de omfattende kontroller i ISO 27001 som fundament.

1. Gennemfør en gap-analyse: Start med at vurdere jeres nuværende sikkerhedstilstand op mod kravene i NIS2, DORA og ISO 27001. Vores hovedvejledning, Zenith Controls, giver den detaljerede mapping, I har brug for til at forstå, hvor jeres kontroller opfylder kravene, og hvor der er huller.

2. Opbyg jeres ISMS: Hvis I ikke allerede har et, skal I etablere et formelt ledelsessystem for informationssikkerhed. Brug vores pakke af politikskabeloner, såsom Full SME Pack - SMV eller Full Enterprise Pack, til at accelerere udviklingen af jeres styringsramme.

3. Forbered jer på audits: Anlæg en revisors tilgang fra dag ét. Brug Zenith Blueprint til at forstå, hvordan jeres program vil blive vurderet, og til at opbygge det bevisgrundlag, I har brug for for trygt at kunne dokumentere efterlevelse.

Konklusion

NIS2-direktivet og DORA-forordningen markerer et afgørende tidspunkt for cybersikkerhed og operationel robusthed i Europa. De er ikke blot trinvise opdateringer af eksisterende regler, men en grundlæggende omformning af regulatoriske forventninger med krav om større ansvarlighed fra ledelsen, dybere kontrol af forsyningskæden og en konkret forpligtelse til robusthed.

Selv om udfordringen er betydelig, er den også en mulighed. Det er en mulighed for at bevæge sig videre fra afkrydsningsbaseret efterlevelse og opbygge en reelt robust sikkerhedstilstand, der ikke alene tilfredsstiller tilsynsmyndigheder, men også beskytter virksomheden mod den stadigt voksende trussel om driftsforstyrrelser. Ved at anvende den strukturerede, risikobaserede tilgang i ISO 27001 kan organisationer opbygge ét samlet program, der effektivt adresserer kernekravene i begge regelsæt. Vejen frem kræver forpligtelse, investering og et kulturelt skifte fra toppen, men resultatet er en organisation, der ikke blot overholder kravene, men er reelt robust over for moderne digitale trusler.