-
Nyheder Dataetik er blevet et lovkrav – sådan næstenJuni 2020: En ny lov kræver, at store virksomheder redegør for sin politik om dataetik. Det skal være synligt i virksomhedens årsrapport.
-
Nyheder NemLog-in3 og MitID – afløseren til NemID: Er du forberedt?NemID skal skiftes ud i 2021, og bliver afløst af MitID og NemLog-in3. EU stiller skrappe krav virksomheder og offentlige. Sådan bliver I klar.
-
Nyheder Ny ISO 27002 standard er på vejEn ny ISO 27002 er på vej. Vi gennem går de væsentligste ændringer, og hvad det betyder for dem, der får en ISAE 3402-erklæring.
-
Nyheder Revisorerklæring og GDPR: Ny udgave af ISAE 3000 GDPR med begrænset sikkerhedDen nye udgave af ISAE 3000 GDPR med begrænset sikkerhed er en mere prisvenlig erklæring - men dataansvarlige skal stadig risikovurdere og føre tilsyn.
NIS2 er et direktiv fra EU, som blev vedtaget i slutningen af 2022, og som har effekt, og forventeligt skal være implementeret i løbet af 2024.
Virksomhed og offentlige organisation kan være omfattet af NIS2, hvis man anses for at være en del af Danmarks kritiske infrastruktur. Hertil skal bemærkes, at leverandører til NIS2-omfattede virksomheder også kan være omfattet. Dog vil virksomheder med mindre end 10 mio. euro, eller hvis hvis man har færre end 50 ansatte, som udgangspunkt ikke være omfattet.
NIS2-direktivet stiller krav til organisationernes cyber- og informationssikkerhed, samt krav om tilsyn og rapportering. Kravene er:
- Politikker for risikoanalyse og informationssikkerhed
- Politikker og procedurer til vurdering af effektiviteten af foranstaltninger til styring af cybersikkerhedsrisici
- Politikker og procedurer vedrørende brug af kryptografi og, hvor det er relevant, kryptering
- Håndtering af hændelser
- Driftskontinuitet, såsom backup-styring og reetablering efter en katastrofe, og krisestyring
- Forsyningskædesikkerhed, herunder sikkerhedsrelaterede aspekter vedrørende forholdene mellem den enkelte enhed og dens direkte leverandører eller tjenesteudbydere
- Sikkerhed i forbindelse med erhvervelse, udvikling og vedligeholdelse af net og informationssystemer, herunder håndtering og offentliggørelse af sårbarheder
- Grundlæggende cyberhygiejnepraksisser og cybersikkerhedsuddannelse
- Personalesikkerhed, adgangskontrolpolitikker og forvaltning af aktiver
- Brug af løsninger med multifaktorautentificering eller kontinuerlig autentificering, sikret tale-, video- og tekstkommunikation og sikrede nødkommunikationssystemer internt i enheden, hvor det er relevant
På mange måder kender vi kravene fra ISO 27001 og på sin vis strukturelt også GDPR, så har man som virksomhed i forvejen arbejdet med disse områder, kan det give mening at ”mappe” og gøre brug af dele af de eksisterende politikker.
Lovgivningen skal udmøntes mere konkret, ligesom der endnu (pr. januar 2023) skal tages stilling til hvordan myndigheder foretager tilsyn, modtager anmeldelser etc.
I kraft af vores erfaring om compliance og relevante ISO-standarder, kan vi assistere i arbejdet hen mod at blive NIS2-compliant. Vi kan starte med en modenhedsmåling.