Arbejder din virksomhed med NIS2 i et OT-miljø uden det fulde overblik? Lær, hvad de centrale områder kræver – og få indblik i, om din indsats holder til et tilsyn.
Hvor langt er du egentlig med NIS2? For virksomheder med OT-miljøer er implementeringen særligt tidskrævende, og opgaverne stikker i meget forskellige retninger. Det er ikke fordi arbejdet ikke bliver gjort, men det kan være vanskeligt at skabe overblik, og måske sidder du med en nagende fornemmelse af, at der kan være noget, du har overset:
Vil det samlede billede være godt nok, når tilsynet banker på?
Dette indlæg giver dig overblik over, hvad NIS2 konkret kræver i en OT-kontekst, og hvad det vil sige at have gjort det rigtigt. Undervejs stiller vi dig 5 spørgsmål, som hjælper dig med at vurdere, hvor langt du er i processen.
Vi har valgt at samle de forskellige krav og foranstaltninger i NIS2 i 5 kerneområder. Det er en pædagogisk forenkling, der grupperer beslægtede krav under én overskrift – ikke for at skære hjørner, men for at gøre det lettere at arbejde systematisk med implementeringen.
Vi grupperer i øvrigt kravene på samme måde i vores OT-workbench i NorthGRC.
Har du brug for mere personlig rådgivning, kan vores konsulenter hjælpe dig med næste skridt i din NIS2-implementering.
Et vandværk og en it-virksomhed kan begge være omfattede af NIS2. Virkeligheden i en OT-virksomhed er dog markant anderledes, og derfor rammer kravene meget forskelligt.
I en OT-virksomhed, hvad enten du driver vandforsyning, elproduktion, fjernvarme eller procesproduktion, er systemerne designet til stabilitet og driftsikkerhed. Patchbarhed og overvågning kommer i anden og nogle gange tredje række.
Et SCADA-anlæg kan have en levetid på 20-30 år. Det er ikke bygget til at modtage sikkerhedsopdateringer ugentligt, og det kan ikke bare lukkes ned i en time for vedligehold.
Konsekvensen af en sikkerhedshændelse er imidlertid heller ikke blot datatab; det er produktionsstop, forsyningssvigt og i værste fald potentielle fysiske skader.
Læs også: 5 grunde til NIS2 er sværere for OT-virksomheder end for alle andre
Det er det, der gør NIS2 komplekst for OT-virksomheder: kravene er de samme som for alle andre, men virkeligheden er en anden. Og det kræver, at man tilpasser sin tilgang til OT-miljøets særlige betingelser frem for at kopiere en it-sikkerhedsmodel direkte.
NIS2 opdeler kravene i fem indbyrdes forbundne områder: governance, risikovurdering, politikker og procedurer, kontroller og awareness, og endelig rapportering. Områderne er forbundne, idet governance uden risikovurdering er meningsløs, og politikker uden kontroller blot er papir.
NIS2 skal ikke forstås som en tjekliste, du krydser af én gang, men som en struktur, der er integreret i hverdagen.
Den gode nyhed er, at du jo er i gang: Du starter ikke fra nul. Derfor handler det om at finde ud af, hvor du reelt står på tværs af alle fem, og om din indsats hænger sammen.
NIS2 er et ledelsesanliggende. Det er ikke et it-projekt, der kan delegeres til din sikkerhedschef og glemmes i direktionen. Direktivet fastslår, at bestyrelse og direktion bærer et personligt ansvar. Faktisk går direktivet så langt, at ledelsesmedlemmer i yderste konsekvens kan fratages deres ledelsesbeføjelser ved gentagen manglende overholdelse.
Hvad kræver det i praksis? Et dedikeret sikkerhedsforum med klare roller og mandat. Dokumenteret ledelsesuddannelse, som skaber reel forståelse af trusselsbilledet og ansvarsstrukturen. Og en model for, hvordan sikkerhed rapporteres opad i organisationen, ikke kun nedad.
Se her, hvordan du kan give ledelsen overblik med NorthGRC
Governance er forudsætningen for alt det, der kommer efter. Uden den har risikovurderinger, politikker og kontroller ingen forankring i ledelsen – og dermed ingen reel vægt.
Har din direktion et dokumenteret ansvar for OT-sikkerhed – og mødes et dedikeret sikkerhedsforum fast med mandat til at handle?
En risikovurdering er ikke det samme inden for OT som i it, og det er en af de mest udbredte misforståelser i NIS2-arbejdet. Inden for it drejer risiko sig primært om fortrolighed og integritet af data.
I OT handler det om tilgængelighed, sikkerhed og de direkte konsekvenser for de fysiske processer: Hvad sker der, hvis dit vandbehandlingsanlæg mister kontrollen med pumperne, eller hvis styresystemet bliver lagt ned? Hvad koster et produktionsstop på en time, et døgn, en uge?
NIS2 kræver, at du kortlægger dine aktiver – altså dine systemer, PLC’er, SCADA-systemer, lokationer og kritiske leverandører, og vurderer deres risici. Her skal du have fokus på de samfundsmæssige konsekvenser, hvis noget går galt og sandsynligheden for, at det gør.
Og det er ikke nok at vurdere risikoen. Du skal have en risikohåndteringsplan, der viser, hvad du gør ved de risici, du har identificeret.
Læs også: NIS2 artikel 21: Hvad kræver risikovurderingen – og hvad betyder det for OT?
Det er svært at prioritere det, man ikke har kortlagt. Mange OT-virksomheder har udført deres risikovurderinger med udgangspunkt i fysiske trusler, men der er sjældent taget højde for cybertrusler.
Men det er præcis den kobling, tilsynsmyndighederne vil kigge efter.
Har du kortlagt dine OT-aktiver og leverandører, og har du en risikohåndteringsplan, der viser, hvad du gør ved det, du har fundet?
NIS2 kræver to ting på politikfronten: én overordnet OT-informationssikkerhedspolitik, der sætter rammen for hele indsatsen, og 13 emnespecifikke politikker, der dækker alt fra hændelseshåndtering og backup til adgangskontrol, kryptografi og leverandørstyring. Dertil kommer procedurer for systemers livscyklus – fra anskaffelse til udfasning.
Det er ikke uoverkommeligt, men der skal andet og mere end gode intentioner til. En politik fungerer først, når den har en ejer, er godkendt af ledelsen og bliver efterlevet og løbende revideret.
Se her, hvordan NorthGRC gør det nemmere at holde styr på jeres politikker.
Hvis din backup-politik sidst blev opdateret for tre år siden, er den ikke en kontrolforanstaltning. I værste fald er den faktisk en sårbarhed. Den giver nemlig en falsk følelse af tryghed, fordi “Det har vi jo en politik for.”
Politikkerne er virksomhedens sikkerhedsmæssige løfte til sig selv og til de myndigheder, der fører tilsyn. Det løfte skal kunne indfries.
Har dine politikker en ejer, en godkendelsesdato og en revisonscyklus, eller er de dokumenter, ingen længere ved, hvor ligger?
Der er en forskel på at have nedskrevne kontroller og at have implementerede kontroller, og det er netop den forskel, NIS2 adresserer. En adgangskontrolpolitik, der ikke er rullet ud, er ikke en kontrol. Et segmenteringsdesign, der aldrig er sat i drift, er ikke en sikkerhedsforanstaltning.
NIS2 kræver, at du kan dokumentere, at dine kontroller virker i praksis.
Awareness er et selvstændigt krav og fortjener at blive behandlet som sådan. Medarbejdere og ledere, der aldrig er blevet undervist i OT-sikkerhed, er en risiko, ikke en ressource.
De skal kende de særlige trusler mod industrielle systemer, ved social engineering og kende til de procedurer ved hændelser, som er særligt gældende i OT. Undervisningen er nødvendig både for de folk, der sidder ved SCADA-skærmen, og for de ledere, der sidder med det overordnede systemansvar.
Læs også: Hvorfor 95% gennemført træning ikke er det samme som 95% sikkerhed
Det er her, papirarbejdet bliver til reel sikkerhed, eller bliver blottet som noget, der kun eksisterer på netop papir.
Kan du dokumentere, at dine kontroller er implementeret og virker – og hvornår dine medarbejdere sidst modtog OT-specifik sikkerhedstræning?
Det femte område samler de fire foregående: Hvad er din evne til at dokumentere, kommunikere og handle på dit sikkerhedsniveau?
Det indebærer to ting:
Det lyder måske håndterbart, men mange virksomheder opdager først for sent, at de mangler klare roller, dokumenterede procedurer og de rette kontaktpunkter. Hvis det først viser sig netop i den situation, hvor det haster mest, kan det få store konsekvenser for virksomheden.
Se her, hvordan NorthGRC gør det nemmere at sikre hændelseshåndtering og rapportering
Rapportering kan føles som unødig bureaukrati, men det er dét, der gør governance meningsfuldt – og det er det, tilsynsmyndigheder konkret vil undersøge.
Hvis der sker en hændelse i morgen, ved alle så, hvem der beslutter, at den er væsentlig, og hvem der underretter myndighederne inden for 24 timer?
NIS2 kræver ikke, at sikkerhedsniveauet er i top på alle fronter for at være compliant. Den kræver, at du har forholdt dig systematisk til dine risici og kan dokumentere, at din indsats er proportional med det trusselsbillede, du faktisk har.
Det vigtige er ikke at have gjort alt, men at vide, hvor du står, og have en plan for det, der mangler. Og du behøver ikke nå til det punkt alene.
NorthGRCs OT Workbench er bygget til at bryde NIS2-kravene ned i strukturerede og udførligt beskrevne opgaver og holde styr på jeres fremskridt såvel som mangler. På den måde skaber platformen netop det overblik, der ellers er så svært at få.
Vores OT Workbench er udviklet specifikt til OT-virksomheder, der arbejder med NIS2. Den strukturerer de fem kravområder i et samlet årshjul, giver dig overblik over din implementeringsstatus og gør det nemt at dokumentere, prioritere og følge op – uden at miste tråden undervejs.
Desuden giver OT Workbenchen overblik over din leverandørkæde, hjælper dig med risikovurderinger og guider dig til handling og rapportering, hvis I skulle opleve et sikkerhedsbrud.
Hvis du vil have hjælp til eksempelvis en gapanalyse eller løbende GRC-understøttelse, kan vores konsulenter hjælpe dig fra hvor du er i dag til der, hvor du skal være. Vi rådgiver, hjælper jer i gang og udfører GRC-opgaver for jer, hvis det giver mere mening end at bygge kapaciteten selv.
Vil du se, hvad OT Workbench kan gøre for din NIS2-implementering? Se en videogennemgang og læs mere på [link til OT Workbench-landingsside].