Teknologi- og sikkerhedsdirektøren: “Man kan ikke køre rundt i, hvad der svarer til en it-sikkerhedsmæssig Trabant og samtidig være NIS2-compliant”
Globeteams artikelserie om NIS2-implementering og NIS2-compliance anlægger forskellige perspektiver på det nyeste sikkerhedsdirektiv fra EU. I denne artikel forholder teknologi- og sikkerhedsdirektør i Microsoft Danmark, Ole Kjeldsen, sig til NIS2 fra et teknisk synspunkt og opfordrer bl.a. til en nødvendig modernisering af virksomheders teknologiplatform.
Interview med Ole Kjeldsen, Teknologi- og sikkerhedsdirektør i Microsoft Danmark
Hvad er for jer den største forretningsmæssige gevinst i arbejdet med NIS2?
“Én af mine kongstanker i forhold til NIS2 er, at man som virksomhed eller organisation vil få mere værdi ud af sine anstrengelser, hvis man ikke kun ser det som en compliance-øvelse, hvor det handler om at slippe for bøder, men at man betragter sikkerhedsarbejdet som en absolut nødvendighed for forretningen. I Danmark har vi været gode til at digitalisere, og vi har opnået en enorm fleksibilitet i vores arbejdsgange på mange nøgleområder. Bagsiden af den udvikling er, at cybertrusselsniveauet samtidig er eksploderet. NIS2 lægger de rammer, som – hvis man kigger i bagspejlet – nok skulle have været implementeret for 10 år siden som en best practice-tilgang. Det gjorde vi ikke dengang. Men nu får vi faktisk en mulighed for at styrke vores individuelle og kollektive modstandsdygtighed overfor cybertrusler. Ikke mindst fordi der følger et rapporteringsansvar med NIS2, som betyder, at alle hændelser skal meldes ind, hvilket betyder mere videndeling – og det er altid en god ide at dele viden.”
Hvad er de største udfordringer i forhold til at blive NIS2-parat inden efteråret 2024?
“Der er mange virksomheder og organisationer, der vil kigge ned over kravene til politikker, procedurer og kontroller og sige, jamen, det har vi da allerede implementeret. Mange er altså allerede godt på vej. Men der vil selvfølgelig være afkroge af cybersikkerheden, man ikke har overvejet, og som der nu bliver stillet krav om, at man forholder sig til – eksempelvis i form af rapporteringsansvaret og de tidsfrister, der følger med. Derudover tror jeg også, at der er mange, der kommer til at arbejde med beredskabsplaner på et andet niveau, end de har været vant til. Beredskabsplaner kan hurtigt få karakter af en papirøvelse, men med NIS2 er det et klart formuleret krav, at beredskabsplaner skal testes, så man reelt kan reetablere systemer og gøre data tilgængelige efter en hændelse.”
Hvordan anbefaler du, at virksomheder tager hul på arbejdet med NIS2?
“I min bog begynder alt sikkerhedsarbejde med en risikovurdering. Og dermed mener jeg en væg-til-væg-analyse af, hvordan man håndterer forskellige risikoscenarier for forretningen, for kunderne og for kompromitteringen af kritiske data, og om sikkerhedsniveauet er på et acceptabelt niveau. Det er det oplagte sted at dykke ned, fordi man får kortlagt, hvad man rent faktisk gør og ikke gør. Det hjælper ikke noget at have en beskrivelse af, hvad man burde gøre. Det skal være et ærligt blik. Den øvelse er i øvrigt altid givtig – også selvom man ikke tilhører gruppen af NIS2-omfattede virksomheder eller organisationer. NIS2 handler om at sætte fokus på den infrastruktur, der er kritisk for Danmark. Men de samme krav kan også bruges til at sætte fokus på, hvad der er kritisk for den enkelte virksomhed eller organisation. Og så skal man selvfølgelig rightsize scopet derefter. Der er eksempelvis ikke et formelt rapporteringskrav, hvis man ikke er omfattet af NIS2. Men derfor kunne jeg da godt forestille mig, at også bestyrelser i mindre virksomheder gerne vil forstå, hvad der sker for forretningen i forbindelse med en sikkerhedshændelse.”
Hvilke kompetencer har man brug for internt og eksternt for at komme i mål med NIS2?
“Der er behov for nogen, der kan forstå at arbejde med risikostyring og jura. Derudover er der nogle kommunikationsdiscipliner og ledelsesmæssige kompetencer, der skal udvides. Når det kommer til spørgsmålet om, hvad man kan håndtere internt, og hvad man må købe sig til eksternt, vil jeg sige, at det selvfølgelig er superfint, hvis man kan tiltrække specialistkompetencer, men at det langtfra er alle, der har behov for dem. Især for mellemstore og mindre virksomheder, der ønsker at være compliant med eller allerede er omfattet af NIS2, vil jeg anbefale, at de først og fremmest kigger på at bruge en moderne platform, som kan give dem et noget højere sikkerhedsmæssigt bundniveau og så eksempelvis gå sammen i branchesammenslutninger, hvor man kan deles om nogle af omkostningerne og lære af hinandens erfaringer.”
Hvilke teknologiområder bør man først og fremmest få styr på?
“For mange vil det være et spørgsmål om at få moderniseret deres teknologiplatform. Der er nogle grundlæggende investeringer, man er nødt til at foretage, fordi virksomhedens legacy-systemer typisk er den langt største angrebsflade i forhold til cybertrusler. Man kan ikke køre rundt i, hvad der svarer til en it-sikkerhedsmæssig Trabant og samtidig være NIS2-compliant. I den forbindelse kan vi se, at dem, der vælger at modernisere deres teknologiplatform ved at rykke i en cloudløsning, får nogle fordele. Der er mange ting, der er givet på forhånd i forhold til den fysiske sikkerhed, driftssikkerhed, trusselshåndtering og så videre, når forsvaret mod et komplekst trusselsbillede udspringer af en global indsats fra en stor leverandør som eksempelvis Microsoft. Oveni får man adgang til en online service-platform, hvor det lidt forenklet sagt er leverandøren, som har ansvaret for at sikre, at de nyeste opdateringer er på plads, at der monitoreres for og beskyttes mod angreb, ligesom leverandøren løbende stiller en lang række vejledninger og moderne sikkerhedsteknologier til rådighed. Man kan aldrig 100% outsource sin sikkerhed, men sikkerhed er nemmere at etablere og fastholde, hvis det fundamentale er på plads, og hvis værktøjskassen altid indeholder de nyeste værktøjer. Flertallet har allerede skiftet deres web- og mailservere i kælderen ud med cloudløsninger, og de har gjort noget tilsvarende med deres identitetsstyring, men ellers er det klart stedet at starte. Dernæst er det naturligt at se på andre løsninger, som kan have en grad af legacy over sig, uanset om det er CRM, ERP eller andre af de mere forretningsnære løsninger.”
Du kan læse mere om Globeteams artikelserie her.
Husk at tilmelde dig vores NIS2-nyhedsbrev. Så er du sikker på at modtage alle artikler i serien, helt automatisk.
Om Ole Kjeldsen
Ole Kjeldsen er teknologi- og sikkerhedsdirektør hos Microsoft Danmark. Udover at være engageret i digital dannelse og etisk anvendelse af intelligent teknologi varetager Ole også en række tillidsposter. Han er bl.a. medlem af bestyrelsen i Rådet for Digital Sikkerhed, It-Sikkerhedsudvalget under IT-Branchen, DI’s udvalg for Informationssikkerhed, Erhvervsministeriets IT Sikkerhedsrådgivergruppe og af ekspertpanelet for AAU CMI Cybersikkerhedsuddannelse. Derudover gæsteforelæser han på KU, ITU, AAU og CBS.
Tilmeld dig NIS2-nyhedsbrev her
Vil du være sikker på at modtage alle artikler i NIS2-artikelserien, så husk at tilmelde dig vores NIS2-nyhedsbrev, som er målrettet personer, der arbejder med compliance og i særdeleshed NIS2.
