Forsyningsvirksomheden: Vi skal finde den rette balance mellem fluebenstiltag og reelle sikkerhedsforbedringer
Globeteams artikelserie om NIS2-implementering og NIS2-compliance anlægger forskellige perspektiver på det nyeste sikkerhedsdirektiv fra EU. I denne artikel fortæller Aalborg Forsyning, hvordan de går til NIS2-opgaven, hvorfor det er et vigtigt korrektiv til nuværende praksis i forsyningssektoren, og på hvilke områder det giver bedst mening at opbygge in-house kompetencer.
Interview med René Bisgaard Kure, CIO, Aalborg Forsyning
Hvad er for jer den største forretningsmæssige gevinst i arbejdet med NIS2?
“Per 1. januar 2022 blev seks forskellige forsyningsvirksomheder under Aalborg Forsyning konsolideret til én multiforsyningsvirksomhed. Historisk set har hvert af de seks forsyningsselskaber håndteret it- og OT-sikkerhed på hver deres måde. Derfor passer NIS2 rent timingmæssigt godt ind i vores organisationsarbejde, fordi vi alligevel skulle finde en samlet måde at gøre tingene på, ikke mindst indenfor cybersikkerhed.”
“Derudover mener jeg, det er positivt, at der følger et ledelsesansvar med NIS2. I Aalborg Forsyning har det ikke været en udfordring at få ledelsens opbakning til data- eller informationssikkerhed. Det mærkede vi blandt andet i forbindelse med GDPR-implementeringen. Erfaringen herfra indikerer, at NIS2-implementeringen vil kræve tilsvarende mange ressourcer, så det er vigtigt, at ledelsen prioriterer opgaven og finder plads i budgettet.”
“Som en sidste pointe tror jeg også, at NIS2 kommer til at gøre noget godt for sammenkoblingen mellem forsyningsvirksomheders klassiske beredskab og deres it-beredskab. Traditionelt har vores forsyningsvirksomheder udarbejdet beredskabsplaner for hver af de seks forsyningsarter – vand, spildevand, varme, køl, gas samt elproduktion. Hertil kan lægges vores it-beredskab. NIS2 fordrer i min optik, at vi i højere grad skal samtænke det klassiske beredskab med vores it-beredskab, fordi en it-sikkerhedshændelse meget hurtigt kan blive til en hændelse i ét af vores forsyningsområder. Der er så meget it i den måde, vi styrer vores forsyningsarter på i dag, at det kun er godt, at det område bliver strammere reguleret i fremtiden.”
Hvad er de største udfordringer i forhold til at blive NIS2-parat inden efteråret 2024?
“NIS2 kræver meget dokumentation, der beskriver, hvad vi gør for at leve op til kravene, og som viser, at vi rent faktisk også lever op til kravene. At sørge for at vi får opfanget og dokumenteret processer, procedurer og teknologi, som i vid udstrækning allerede findes i medarbejdernes rutiner, og får disse dokumenteret på relativt kort tid, er essentielt. Det er et stykke rugbrødsarbejde, som kræver involvering og bred accept i forretningen.”
“Derudover bliver det også en udfordring at sælge projektet til den menige medarbejder, som bliver påvirket af de nye krav, men som ikke nødvendigvis kan få øje på, hvordan NIS2 forbedrer cybersikkerheden. Mange er vant til, at optimering af it-sikkerheden hænger sammen med, at der bliver foretaget tekniske foranstaltninger. Det her handler mere om at kortlægge vores sikkerhedsprocesser, så vi kan finde ud af, hvor vi allerede er dækket ind, og hvor vi er bagud. Og først derefter kigger vi på, om vi eventuelt skal foretage nye, tekniske foranstaltninger.”
“Endelig skal vi også finde et passende implementeringsniveau, som vores medarbejdere forstår og bakker op omkring tiltagene. Med NIS2 er der en risiko for at ramme et implementeringsniveau, hvor øvelsen handler mere om at sætte et flueben i en bestemt boks for at tilfredsstille myndighederne, end det handler om at hæve vores reelle sikkerhedsniveau. Det er en balance, og den er vi optaget af at finde. Man kan groft sagt godt foretage noget, som på papiret gør os meget mere compliant, men som i virkelighedens verden ikke gør os meget mere sikre, og så har vi som organisation ikke vundet så meget.”
Hvordan anbefaler du, at virksomheder tager hul på arbejdet med NIS2?
“Vi har udarbejdet en foranalyse, hvor der blev gennemført interviews med forskellige dele af vores forretning indenfor de forskellige områder af NIS2. Det mundede ud i en GAP-analyse, og på baggrund af den kunne vi se, hvor modne vi var. Det har så igen ført til en projektplan i otte spor, som fortæller, hvor vi skal begynde for at komme i mål til tiden. NIS2 er et projekt, der i 2023-2024 kommer til at koste os et ikke ubetydeligt millionbeløb, så det er ikke nogen billig øvelse. Men det er nødvendigt at gå grundigt til værks. NIS2 er ikke noget, man kan lave med venstre hånd i driften.”
Hvilke kompetencer har man brug for internt og eksternt for at komme i mål med NIS2?
“For at skabe en fornuftig foranalyse kræver det en god forståelse for NIS2. Det arbejde, mener jeg, at man med fordel kan købe sig assistance til. Hvis man selv skulle læse op på NIS2 fra ende til anden og skabe sig et overblik over de vigtigste ting, kunne vi have siddet med det endnu.”
“I forhold til de kompetencer, der skal bruges i selve implementeringen af projektet, tror jeg mere, det er et spørgsmål om arme og ben. Der er meget rugbrødsarbejde forbundet med at dokumentere og beskrive processer, opsætte kontroller og så videre. I den forbindelse har man brug for en intern forankring. Det vil sige en kerne af folk, som ved, hvad NIS2 er for en størrelse, og hvordan man arbejder med det. Udover kendskab til direktivet har disse folk behov for adgang til ressourcer i de berørte forsyningsarter til at støtte op om de nødvendige tiltag. Denne prioritering er nødvendig for at sikre korrekt implementering i alle berørte områder.”
“Behovet for central forankring var det samme, som da vi implementerede GDPR. Man er nødt til selv at bygge viden op i huset. Hos os bor NIS2 – ligesom GDPR – hos vores CISO. For os er det helt naturligt, at de to ting hænger sammen. Compliancearbejde og kontroller på henholdsvis persondatasikkerhed og it-sikkerhed er på lange stræk hinandens forudsætninger, og vi tror på, at der er en masse synergi i at håndtere NIS2 og GDPR som en helhed.”
Du kan læse mere om Globeteams artikelserie her.
Husk at tilmelde dig vores NIS2-nyhedsbrev. Så er du sikker på at modtage alle artikler i serien, helt automatisk.
Om Aalborg Forsyning
Aalborg Forsyning er Danmarks næststørste multiforsyning. René Bisgaard Kure har de seneste 10 år som CIO stået i spidsen for en omfattende forandring under temaet “Konsolidering”. René har indgående ledelseserfaring fra blandt andre Nokia og Microsoft med forretningstransformation og produktivitetsforbedringer drevet af strategi og innovation og understøttet af teknologi.
Tilmeld dig NIS2-nyhedsbrev her
Vil du være sikker på at modtage alle artikler i NIS2-artikelserien, så husk at tilmelde dig vores NIS2-nyhedsbrev, som er målrettet personer, der arbejder med compliance og i særdeleshed NIS2.
