Globeteams artikelserie om NIS2 – Forsyningsvirksomheden

Skrevet af
Globeteam
Artikel

Del indlĂŠg

Forsyningsvirksomheden: Vi skal finde den rette balance mellem fluebenstiltag og reelle sikkerhedsforbedringer

Globeteams artikelserie om NIS2-implementering og NIS2-compliance anlÊgger forskellige perspektiver pÄ det nyeste sikkerhedsdirektiv fra EU. I denne artikel fortÊller Aalborg Forsyning, hvordan de gÄr til NIS2-opgaven, hvorfor det er et vigtigt korrektiv til nuvÊrende praksis i forsyningssektoren, og pÄ hvilke omrÄder det giver bedst mening at opbygge in-house kompetencer.

Interview med René Bisgaard Kure, CIO, Aalborg Forsyning

Hvad er for jer den stĂžrste forretningsmĂŠssige gevinst i arbejdet med NIS2?

“Per 1. januar 2022 blev seks forskellige forsyningsvirksomheder under Aalborg Forsyning konsolideret til Ă©n multiforsyningsvirksomhed. Historisk set har hvert af de seks forsyningsselskaber hĂ„ndteret it- og OT-sikkerhed pĂ„ hver deres mĂ„de. Derfor passer NIS2 rent timingmĂŠssigt godt ind i vores organisationsarbejde, fordi vi alligevel skulle finde en samlet mĂ„de at gĂžre tingene pĂ„, ikke mindst indenfor cybersikkerhed.”

“Derudover mener jeg, det er positivt, at der fĂžlger et ledelsesansvar med NIS2. I Aalborg Forsyning har det ikke vĂŠret en udfordring at fĂ„ ledelsens opbakning til data- eller informationssikkerhed. Det mĂŠrkede vi blandt andet i forbindelse med GDPR-implementeringen. Erfaringen herfra indikerer, at NIS2-implementeringen vil krĂŠve tilsvarende mange ressourcer, sĂ„ det er vigtigt, at ledelsen prioriterer opgaven og finder plads i budgettet.”

“Som en sidste pointe tror jeg ogsĂ„, at NIS2 kommer til at gĂžre noget godt for sammenkoblingen mellem forsyningsvirksomheders klassiske beredskab og deres it-beredskab. Traditionelt har vores forsyningsvirksomheder udarbejdet beredskabsplaner for hver af de seks forsyningsarter – vand, spildevand, varme, kĂžl, gas samt elproduktion. Hertil kan lĂŠgges vores it-beredskab. NIS2 fordrer i min optik, at vi i hĂžjere grad skal samtĂŠnke det klassiske beredskab med vores it-beredskab, fordi en it-sikkerhedshĂŠndelse meget hurtigt kan blive til en hĂŠndelse i Ă©t af vores forsyningsomrĂ„der. Der er sĂ„ meget it i den mĂ„de, vi styrer vores forsyningsarter pĂ„ i dag, at det kun er godt, at det omrĂ„de bliver strammere reguleret i fremtiden.”

Hvad er de stÞrste udfordringer i forhold til at blive NIS2-parat inden efterÄret 2024?

“NIS2 krĂŠver meget dokumentation, der beskriver, hvad vi gĂžr for at leve op til kravene, og som viser, at vi rent faktisk ogsĂ„ lever op til kravene. At sĂžrge for at vi fĂ„r opfanget og dokumenteret processer, procedurer og teknologi, som i vid udstrĂŠkning allerede findes i medarbejdernes rutiner, og fĂ„r disse dokumenteret pĂ„ relativt kort tid, er essentielt. Det er et stykke rugbrĂždsarbejde, som krĂŠver involvering og bred accept i forretningen.”

“Derudover bliver det ogsĂ„ en udfordring at sĂŠlge projektet til den menige medarbejder, som bliver pĂ„virket af de nye krav, men som ikke nĂždvendigvis kan fĂ„ Ăžje pĂ„, hvordan NIS2 forbedrer cybersikkerheden. Mange er vant til, at optimering af it-sikkerheden hĂŠnger sammen med, at der bliver foretaget tekniske foranstaltninger. Det her handler mere om at kortlĂŠgge vores sikkerhedsprocesser, sĂ„ vi kan finde ud af, hvor vi allerede er dĂŠkket ind, og hvor vi er bagud. Og fĂžrst derefter kigger vi pĂ„, om vi eventuelt skal foretage nye, tekniske foranstaltninger.”

“Endelig skal vi ogsĂ„ finde et passende implementeringsniveau, som vores medarbejdere forstĂ„r og bakker op omkring tiltagene. Med NIS2 er der en risiko for at ramme et implementeringsniveau, hvor Ăžvelsen handler mere om at sĂŠtte et flueben i en bestemt boks for at tilfredsstille myndighederne, end det handler om at hĂŠve vores reelle sikkerhedsniveau. Det er en balance, og den er vi optaget af at finde. Man kan groft sagt godt foretage noget, som pĂ„ papiret gĂžr os meget mere compliant, men som i virkelighedens verden ikke gĂžr os meget mere sikre, og sĂ„ har vi som organisation ikke vundet sĂ„ meget.”

Hvordan anbefaler du, at virksomheder tager hul pÄ arbejdet med NIS2?

“Vi har udarbejdet en foranalyse, hvor der blev gennemfĂžrt interviews med forskellige dele af vores forretning indenfor de forskellige omrĂ„der af NIS2. Det mundede ud i en GAP-analyse, og pĂ„ baggrund af den kunne vi se, hvor modne vi var. Det har sĂ„ igen fĂžrt til en projektplan i otte spor, som fortĂŠller, hvor vi skal begynde for at komme i mĂ„l til tiden. NIS2 er et projekt, der i 2023-2024 kommer til at koste os et ikke ubetydeligt millionbelĂžb, sĂ„ det er ikke nogen billig Ăžvelse. Men det er nĂždvendigt at gĂ„ grundigt til vĂŠrks. NIS2 er ikke noget, man kan lave med venstre hĂ„nd i driften.”

Hvilke kompetencer har man brug for internt og eksternt for at komme i mÄl med NIS2?

“For at skabe en fornuftig foranalyse krĂŠver det en god forstĂ„else for NIS2. Det arbejde, mener jeg, at man med fordel kan kĂžbe sig assistance til. Hvis man selv skulle lĂŠse op pĂ„ NIS2 fra ende til anden og skabe sig et overblik over de vigtigste ting, kunne vi have siddet med det endnu.”

“I forhold til de kompetencer, der skal bruges i selve implementeringen af projektet, tror jeg mere, det er et spĂžrgsmĂ„l om arme og ben. Der er meget rugbrĂždsarbejde forbundet med at dokumentere og beskrive processer, opsĂŠtte kontroller og sĂ„ videre. I den forbindelse har man brug for en intern forankring. Det vil sige en kerne af folk, som ved, hvad NIS2 er for en stĂžrrelse, og hvordan man arbejder med det. Udover kendskab til direktivet har disse folk behov for adgang til ressourcer i de berĂžrte forsyningsarter til at stĂžtte op om de nĂždvendige tiltag. Denne prioritering er nĂždvendig for at sikre korrekt implementering i alle berĂžrte omrĂ„der.”

“Behovet for central forankring var det samme, som da vi implementerede GDPR. Man er nĂždt til selv at bygge viden op i huset. Hos os bor NIS2 – ligesom GDPR – hos vores CISO. For os er det helt naturligt, at de to ting hĂŠnger sammen. Compliancearbejde og kontroller pĂ„ henholdsvis persondatasikkerhed og it-sikkerhed er pĂ„ lange strĂŠk hinandens forudsĂŠtninger, og vi tror pĂ„, at der er en masse synergi i at hĂ„ndtere NIS2 og GDPR som en helhed.”

Du kan lÊse mere om Globeteams artikelserie her.   

Husk at tilmelde dig vores NIS2-nyhedsbrev. SÄ er du sikker pÄ at modtage alle artikler i serien, helt automatisk.

Du kan lĂŠse mere om NIS2 her

Om Aalborg Forsyning

Aalborg Forsyning er Danmarks nĂŠststĂžrste multiforsyning. RenĂ© Bisgaard Kure har de seneste 10 Ă„r som CIO stĂ„et i spidsen for en omfattende forandring under temaet “Konsolidering”. RenĂ© har indgĂ„ende ledelseserfaring fra blandt andre Nokia og Microsoft med forretningstransformation og produktivitetsforbedringer drevet af strategi og innovation og understĂžttet af teknologi.

 

Aalborg Forsyning

Tilmeld dig NIS2-nyhedsbrev her

Vil du vÊre sikker pÄ at modtage alle artikler i NIS2-artikelserien, sÄ husk at tilmelde dig vores NIS2-nyhedsbrev, som er mÄlrettet personer, der arbejder med compliance og i sÊrdeleshed NIS2.

Andre lÊste ogsÄ
17. juni 2026
NIS2-klummeserie
Morten Eeg EjrnÊs Nielsen, sikkerhedsrÄdgiver og NIS2-ekspert i Globeteam, har skrevet en klummeserie til ITWatch, hvor han gÞr op med de stÞrste NIS2-misforstÄelser og guider ledelsen mod reel modenhed frem for blot dokumentation.
12. juni 2026
Globeteam & 7N pÄ FolkemÞdet 2026
Se debat fra IT-branchens IT-paratskib pĂ„ FolkemĂždet 2026 med bl.a. Morten Eeg EjrnĂŠs Nielsen fra Globeteam: “Et hav af cyberregler – men ingen ved roret?”
23. april 2026
Seminar: Totalforsvar, beredskab og sammenhĂŠngskraft
Globeteam inviterer til seminar i Aarhus. Sammen med centrale aktÞrer fra bÄde forsvar og kritisk infrastruktur sÊtter vi fokus pÄ det Êndrede risikobillede og behovet for beredskab, risikostyring og organisatorisk robusthed.

Nyhedsbrev

FĂ„ vores nyhedsbrev

Hold dig opdateret pÄ din virksomheds digitale muligheder med cases og faglige artikler