Cyber security

Bliv certificeret i IT-sikkerhed

CompTIA NIS2

CompTIA certificeringer vs. NIS2 direktivet


Den 17. oktober 2024 passerede den oprindelige dato, hvor de europæiske medlemsstater skulle have implementeret NIS2-direktivet i lokal lovgivning og virksomhederne skulle have de nødvendige foranstaltninger på plads og overholde NIS2-direktivet. I Danmark er fristen senest udskudt til 1. juli 2025. Flere af de europæiske lande, som blandt andet Sverige og Belgien, er imidlertid klar og nu i gang med NIS2 på fuldt blus.

Langt de fleste virksomhedsledere har hørt om NIS2 og om de nye krav og forpligtelser inden for de fire overordnede områder: risikostyring, virksomhedens ansvar, rapporteringsforpligtelser og forretningskontinuitet, som skal forbedre virksomhederes modstandsdygtighed over for nuværende og fremtidige cybertrusler.

NIS2 opstiller også 10 minimumsforanstaltninger, der skal implementeres på tværs af de 16 sektorer:

  1. energi
  2. transport med delsektorerne:
    • luft
    • jernbane
    • vand
    • vejtransport
  3. sundhed
  4. drikkevand
  5. spildevand
  6. digital infrastruktur
  7. forvaltning af IKT-tjenester (informations- og kommunikationstjenester)
  8. offentlig forvaltning
  9. rummet
  10. post- og kurertjenester
  11. affaldshåndtering
  12. fremstilling, produktion og distribution af kemikalier
  13. produktion, tilvirkning og distribution af fødevarer
  14. fremstilling med delsektorerne:
    • fremstilling af medicinsk udstyr og medicinsk udstyr til in vitro-diagnostik
    • fremstilling af computere og elektroniske og optiske produkter
    • fremstilling af elektrisk udstyr
    • fremstilling af maskiner og udstyr intet andetsteds nævnt
    • fremstilling af motorkøretøjer, påhængsvogne og sættevogne
    • fremstilling af andre transportmidler
  15. digitale udbydere
  16. forskning

De 10 minimumsforanstaltninger

Ifølge NIS2 skal virksomheder implementere specifikke foranstaltninger for at sikre et passende niveau af cybersikkerhed. De 10 minimumsforanstaltninger, der er nævnt i direktivet, dækker forskellige områder inden for sikkerhedsstyring og omfatter:

  1. Risikoanalyse og risikostyring: Virksomheder skal gennemføre regelmæssige risikovurderinger og implementere passende risikostyringsprocedurer, der adresserer cybertrusler og sårbarheder.
  2. Håndtering af hændelser: Der skal være processer og værktøjer på plads til at identificere, håndtere og rapportere sikkerhedshændelser. Dette inkluderer mekanismer for tidlig varsling og afhjælpning af cyberangreb.
  3. Håndtering af kontinuitet i forretningsdriften: Virksomhederne skal sikre, at de kan opretholde kritiske tjenester under og efter en cyberhændelse, f.eks. ved at have backup- og Disaster Recovery (gendannelsesprocedurer) og Beredskabsplaner på plads.
  4. Forsyningskædesikkerhed: Sikkerheden i forsyningskæden skal sikres, herunder styring af tredjeparter og leverandører, for at mindske risikoen for sikkerhedshuller gennem eksterne parter.
  5. Sikkerhed i netværks- og informationssystemer: Implementering af tekniske og organisatoriske foranstaltninger til at sikre netværks- og informationssystemer mod cybertrusler.
  6. Adgangskontrol: Der skal være klare politikker for adgangsstyring, som sikrer, at kun autoriserede personer har adgang til følsomme systemer og data.
  7. Sikkerhed for kommunikationsnetværk og informationssystemer: Beskyttelse af netværkskommunikation mod tab af integritet, tilgængelighed og fortrolighed gennem bl.a. kryptering og overvågning.
  8. Brug af kryptografi: Implementering af passende kryptografiske metoder for at beskytte data og kommunikation mod uautoriseret adgang og manipulation.
  9. Træning i IT-sikkerhed: Medarbejderne skal uddannes og gøres opmærksomme på cybersikkerhedsrisici, herunder gennem træningsprogrammer eller lign.
  10. Test og evaluering af sikkerhed: Virksomhederne skal regelmæssigt teste og evaluere effektiviteten af deres sikkerhedsforanstaltninger for at sikre løbende forbedring.

NIS2 krav til ledelsen

NIS2-direktivet (artikel 20) stiller endvidere en række krav til virksomhederne, som det er vigtigt, at ledelsen tager ansvaret for.

Som noget nyt skal ledelsen:

  • Godkende de foranstaltninger virksomheden har til styring af cybersikkerhedsrisikoen (artikel 21)​
  • Føre tilsyn med, at foranstaltningerne er implementeret (og kan holdes ansvarlig ved misligholdelse)​
  • Deltage i relevante kurser og tilbyde ansatte at følge kurser/uddannelse i NIS2​
  • Opnå tilstrækkelige kundskaber og færdigheder til at kunne identificere risici og vurdere metoderne til styring af cybersikkerhedsrisikoen og deres indvirkning på de tjenester, der leveres af virksomheden.

CyberNordic tilbyder uddannelse til ledelsen og medarbejdere

For at implementere de 10 minimumsforanstaltninger har virksomhederne brug for uddannede og kompetente fagfolk på alle niveauer, herunder også ledelsen. Tabellen nedenfor viser, hvordan henholdsvis:

  1. ledelse/beslutningstagere (ikke-tekniske)
  2. IT-drift og support
  3. sikkerhedsansvarlige
  4. tekniske sikkerhedsledere

kan få den nødvendige træning til at designe, implementere, konfigurere, administrere og vedligeholde en sikkerhedspolitik i overensstemmelse med NIS2’s minimumsforanstaltninger.

I samarbejde med CompTIA tilbydes on-line e-læring kurser inklusive en afsluttende eksamen og certificering. Det er afgørende, at medarbejdere føler sig sikre på, at de har tilegnet sig den nødvendige viden og færdigheder for at opnå selvtillid og kompetence.

Etablering af en sikkerhedskultur i virksomhederne vil omfatte flere medarbejdere, der med hvert sit afsæt kan identificerer organisationens behov, risici og implementerer de nødvendige NIS2-foranstaltninger på tværs af mennesker, processer og teknologi. I tabellen nedenfor har vi defineret de 4 grupper som:

  • Beslutningstagere – Dette er ikke-tekniske medarbejdere i virksomheden, der bidrager til virksomheden modstandsdygtighed ved at overvåge og udfordre de IT- og sikkerhedsansvarlige til at implementere de nødvendige kontrolforanstaltninger. Selvom de ikke er tekniske, skal de forstå nøglebegreber, der gør det muligt for dem at sammenligne forretningsmål med teknologiske ressourceallokeringer. Beslutningstagere som CEO/administrerende direktør, CFO/økonomidirektør, øvrige ledelse, bestyrelsesmedlemmer vil være en del af denne gruppe.
  • IT-drift og support – Dette vil omfatte IT-supportteknikere, system- og netværksadministratorer, netværks- og cloud-ingeniører samt databaseadministratorer, der er ansvarlige for at designe, implementere, sikre, vedligeholde og understøtte organisationens teknologiinvesteringer. Med et bredt ansvarsområde og et skiftende teknologilandskab er de første forsvarslinje for at sikre netværks- og informationssystemers modstandsdygtighed.
  • Sikkerhedsansvarlige – Dette kan være en separat funktion, eller det kan inkludere personer, der har visse cybersikkerhedsansvar inden for IT-drift og support. Målet for dette team er at styre, overvåge, teste og rapportere om virksomhedens cybersikkerhedsniveau. Dette vil inkludere sikkerhedsadministratorer, cybersikkerhedsanalytikere og penetrationstestere.
  • Teknisk & sikkerhedsledelse – Dette kan være ledere, der overvåger IT-drift og support samt sikkerhed såsom CTO og CISO. Det kan også omfatte teamledere, managere og direktører. De vil være ansvarlige for den overordnede implementering og rapporteringskravene under NIS2-direktivet samt for at sikre kontinuerlig forbedring af organisationens sikkerhedspolitik og overvågning af nye cybersikkerhedstrusler og -muligheder.

Etablering af en cybersikkerhedskultur

CompTIA-certificeringer er leverandøruafhængige, har global anerkendelse og er tilpasset de roller som medarbejdere har i virksomheden. Derfor anbefales det, at organisationer implementerer en rolle-baseret tilgang, der bidrager til en læringskultur og fremmer kontinuerlig faglig udvikling.

For eksempel kunne en læringsvej for en cybersikkerhedsspecialist være som følger:

  • Begynder: CompTIA A+
  • Mellemstadie: CompTIA Network+, CompTIA Security+
  • Avanceret: CompTIA CySA+, CompTIA PenTest+, CompTIA Cloud+
  • Ekspert: CompTIA CASP+

NIS2 minimumsforanstaltninger og kurser/certificeringer

NIS2 minimumsforanstaltningerne og CompTIA-løsningerne er grupperet i henhold til de 4 roller

  1. ledelse/beslutningstagere (ikke-tekniske)
  2. IT-drift og support
  3. sikkerhedsansvarlige
  4. tekniske sikkerhedsledere

for at sikre, at organisationer kan tilpasse deres uddannelse til de krav, der er fastsat i NIS2-direktivet.

NIS2 minimums målLedelse og beslutnings-tagereIT-drift og supportSikkerhedsansvarligeTekniske sikkerheds-ledere
Risikovurderinger og sikkerhedspolitikker for IT-systemerCloud Essentials+A+
Network+
Security+CASP+
En plan for håndtering af sikkerhedshændelserCloud Essentials+A+
Network+
Security+
CySA+
CASP+
En plan for styring af IT-driften under og efter en sikkerhedshændelse. Det betyder, at backup’s skal være opdaterede. Der skal også foreligge en plan – (beredskabsplan og drifts kontinuitet) for at sikre adgang til IT-systemer under og efter en sikkerhedshændelse.ITF+A+
Network+

DataSys+
Security+
CySA+
CASP+
Sikkerhed omkring forsyningskæder og forholdet mellem virksomheden og kritiske leverandører. Virksomheder skal vælge sikkerhedsforanstaltninger, der passer til hver enkelt direkte leverandørs sårbarheder. Endvidere skal virksomhederne vurdere det overordnede sikkerhedsniveau for alle leverandører.  Security+
(PenTest+)
CASP+
Politikker og procedurer til evaluering af effektiviteten af implementerede sikkerhedsforanstaltninger.Cloud Essentials+Network+Security+
(PenTest+)
CASP+
Sikkerhed omkring indkøb, udvikling og drift af systemer. Det betyder bla., at der skal være politikker for håndtering og rapportering af sårbarheder.  Security+
CySA+
CASP+
Cybersikkerhedstræning og grundlæggende computerhygiejne.ITF+
Cloud Essentials+
A+
Network+
DataSys+
Security+
CySA+
(PenTest+)
CASP+
Politikker og procedurer for brug af kryptografi og, når det er relevant, kryptering.ITF+A+ Network+
DataSys+
Security+CASP+
Sikkerhedsprocedurer for medarbejdere med adgang til følsomme eller vigtige data, herunder politikker for dataadgang. Virksomheden skal også have overblik over alle relevante aktiver og sikre, at de udnyttes og håndteres korrekt.ITF+A+ Network+
DataSys+
Security+
CySA+
CASP+
Brugen af multifaktorgodkendelse, kontinuerlige godkendelsesløsninger, tale-, video- og tekstkryptering og krypteret intern nødkommunikation, når det er relevant.ITF+A+
Network+
Security+
CySA+
CASP+

Se de forskellige kurser og NIS2 kursus pakker, som CyberNordic tilbyder her: https://cybernordic.dk/kurser

0
    0
    Kurv
    Din kurv er tomFind din IT-løsning