Det korte svar: NIS2 stiller skærpede krav til cybersikkerhed, ledelsesansvar og dokumentation – og mange danske virksomheder er omfattet. Vi hjælper jer med at skabe overblik, dokumentere jeres databeskyttelsesforanstaltninger og minimere risikoen for hændelser, der kan koste både penge og omdømme.
Vi hjælper med ét centralt område af NIS2
NIS2 er et EU-direktiv, der vedrører europæiske virksomheders cybersikkerhed og beskyttelse af data. At forberede sig på NIS2-direktivet kræver en stor indsats, da det berører en virksomhed inden for mange forskellige områder af cybersikkerhed – IT-systemer, netværk, leverandører, håndtering af data osv. Hos Safe Online udvikler vi software, der gør virksomheder i stand til at håndtere behandling af følsomme data på en ansvarlig måde. Det er et centralt område man som virksomhed skal have styr på, hvis man vil være NIS2-compliant.
Indlægget her er for jer, der søger en måde at overholde NIS2 inden for den del af cybersikkerhed, der vedrører behandling af persondata. Hvis I søger en mere bredere tilgang til at overholde NIS2, anbefaler vi, at I kontakter rådgivningsvirksomheden BDO Danmark.
"Undersøgelser viser, at næsten 50% af virksomheder har oplevet et cyberangreb."
- Center for Cybersikkerhed
Dette siger NIS2 om følsomme data
Ifølge Dansk Standard anbefales det, at man bruger ISO27001 i forhold til at opfylde kravene i NIS2. ISO27001 fastsætter retningslinjerne for virksomhedens cyber- og informationssikkerhed, hvilket er præcist hvad NIS2-direktivet sætter krav til. Det er ikke påkrævet at bruge ISO27001 som reference for at overholde NIS2. Det afgørende er, at man arbejder struktureret med informationssikkerhed, og her er ISO27001 oplagt at følge. I forhold til behandling af en virksomheds følsomme data, betyder ISO27001, at man opfylder følgende:
- Man skal identificere sine følsomme data
- Man skal have statistik af sine følsomme data i real-tid
- Man skal beskytte sine følsomme data ved at flytte det til en sikker placering eller slette det
- Man skal have sine følsomme data klar til datarevision
Vil du have hjælp til at behandle persondata?
I vores nyhedsbrev du får tips og tricks til hvordan du lettere kan håndtere GDPR fra vores grundlægger Sebastian Allerelli.
Når du tilmelder dig vores nyhedsbrev, får du samtidig en gratis licens for én bruger til ShareSimple, som giver dig en e-mail i Outlook. Dette særlige tilbud er kun for nye kunder, med en grænse på én licens pr. virksomhed.
Få hjælp til NIS2 med DataMapper
Hos Safe Online udvikler vi værktøjer til behandling af følsomme data, herunder persondata. Et af værktøjerne er DataMapper, som er et Data Discovery-værktøj, der scanner en virksomheds datasystemer for at finde de filer, mails og billeder, som har følsomt indhold. Sådan kan DataMapper hjælpe med NIS2:
1. Identificering
Ved hjælp af kunstig intelligens og machine learning-algoritmer scanner og finder DataMapper følsomt indhold i filer, mails og billeder. Det sker langt hurtigere, end hvis man skulle gøre det manuelt. Efter et scan får man alle dokumenter præsenteret på en liste.
2. Analyse
I DataMapper får man adgang til realtidsanalyser med den vigtigste statistik, der giver et komplet overblik over dokumenterne.
3. Håndtering
Efter et scan kan man slette, godkende eller flytte dokumentet til en sikker placering, hvor filen er beskyttet. Man kan tage hånd om filerne én ad gangen eller i bulk.
4. Klargøring
Med DataMapper følger et Power BI-værktøj, hvor man kan få avancerede rapporter for organisationens håndtering af følsomme data. Disse rapporter kan man brug som dokumentation til Datatilsynet.
Brug DataMapper til at lave en GAP-analyse
En centralt del af NIS2 er udarbejdelse af en risikovurdering for éns cybersikkerhed. I forbindelse med følsomme oplysninger kan DataMapper hjælpe med at udarbejde en GAP-analyse. En GAP-analyse handler om at identificere de områder der bør forbedres, hvad éns endemål er og hvordan man vil nå dette mål.
I denne situation bør endemålet være de føromtalte NIS2-regler for behandling af følsomme persondata. Via et scan med DataMapper, får I statistik for, hvordan jeres faktiske situation er, når det gælder jeres beholdning af følsomme persondata. I vil tydeligt kunne gennemskue hvilke data I er nødt til at tage hånd om, for at leve op til NIS2.
Et eksempel kunne være, at I har angivet i jeres privatlivspolitik, at I kun opbevarer følsomme data i 6 måneder. Med DataMapper kan I scanne jeres filer, mails og billeder og finde ud af præcist hvor gamle de filer, mails og billede, I har, der indeholder følsomme oplysninger rent faktisk er.
FAQ om NIS2
1. Er vores virksomhed omfattet?
Det afhænger af jeres branche, størrelse og – ikke mindst – kritikalitet. Se Digitaliseringsstyrelsens vejledning.
2. Hvad er forskellen på NIS2 og GDPR?
NIS2 handler om it-sikkerhed og kritisk infrastruktur – GDPR handler om personoplysninger. De overlapper, men har forskellige fokusområder.
3. Skal vi have en NIS2-plan klar?
Ja – og gerne før oktober 2024. Manglende efterlevelse kan føre til tilsyn, sanktioner og store risici.
Forbered jeres følsomme data på NIS2
Som virksomhed kan man ikke blive NIS2-compliant, hvis man ikke har styr på sine persondata. Før I kan arbejde struktureret med jeres NIS2-indsats, skal I vide, hvor de følsomme oplysninger befinder sig, og hvor jeres største sårbarheder ligger. Derfor anbefaler vi at starte med at få udført en GDPR Risikovurdering. Den giver jer et hurtigt og klart billede af, hvor følsomme filer, mails og dokumenter ligger i jeres systemer – og hvilke områder der kræver handling for at leve op til NIS2. Risikovurderingen kan fungere som fundament for både GAP-analyse, risikostyring og prioritering af de sikkerhedsforanstaltninger, som NIS2 kræver.
Læs mere
Sebastian Allerelli
Grundlægger & COO hos Safe Online
Sebastian er medstifter og COO i Safe Online, hvor han fokuserer på at automatisere processer og udvikle innovative løsninger inden for databeskyttelse og compliance. Med en baggrund fra Copenhagen Business Academy og erfaring inden for identitets- og adgangsstyring har han en skarp forståelse for GDPR og datasikkerhed. Som forfatter på Safe Online's Videnshub deler Sebastian sin ekspertise gennem praktiske råd og dybdegående analyser, der hjælper virksomheder med at navigere i det komplekse GDPR-landskab. Hans indlæg kombinerer teknisk indsigt med forretningsforståelse og giver konkrete løsninger til effektiv compliance.
