Fysisk sikkerhed og beredskab i en NIS2 kontekst
Hvis man i grove træk skulle beskrive, hvordan virksomheder og organisationer gennem de seneste 10-15 år har prøvet at beskytte sig selv mod driftsforstyrrende trusler, ligner det pendulsvingninger mellem fysisk og digital sikkerhed.
Først var der meget fokus på fysisk sikkerhed, og hvordan man fik hegnet en virksomhed eller organisation forsvarligt ind med porte, låger, døre, nøglekort, adgangskontroller osv. Det var alt sammen noget, der fik meget opmærksomhed og mange budgetter. Med den stigende digitalisering svingede pendulet den anden vej, og der kom mere fokus på sikring af data, enheder, applikationer, servere, netværk, mens den fysiske sikkerhed trådte lidt i baggrunden.
Nu står vi så foran endnu en pendulsvingning, der formentligt falder til ro i en midterposition. Virksomheder og organisationer har en stigende erkendelse af, at deres sikkerhedsværn skal afspejle et hybridt trusselsbillede. Nutidens hybride trusselsbillede består ikke kun af ondsindede aktører, som bevidst angriber en forretning, udfører sabotage eller på anden vis skaber kaos i en organisation. Det består også af mere og mere usikkert vejrlig med flere oversvømmelser, tørkeperioder osv., pandemier, strømafbrydelser, interne utilsigtede fejl og andre scenarier, der kan forstyrre driften. Dertil kommer, at driften også kan blive alvorligt forstyrret af hændelser længere ude i forsyningskæden, hvor man indirekte kan blive ramt af én eller flere af de ovennævnte scenarier.
IT, OT og Facility Management hænger sammen
Det hybride trusselsbillede er en direkte afspejling af de skærpede sikkerhedskrav i NIS2. Her springer det blandt andet i øjnene, at omfattede virksomheder og organisationer ikke bare skal udarbejde beredskabsplaner, men at beredskabsplanerne også skal trænes og lægges ind i et årshjul over udførte opgaver. Sagt med andre ord kan man ikke længere behandle beredskabsplaner stedmoderligt; de skal tages alvorligt hele vejen op til topledelsen, og de ansvarlige skal udfylde deres roller og kunne deres opgaver på fingerspidserne. Ellers falder hammeren i form af bøder og/eller sanktioner.
I det lys bliver NIS2 en øvelse i at gennemgå, på hvilke måder og i hvilket omfang der er sammenhæng mellem den fysiske og digitale sikkerhed. I dag er der så meget teknik og it i styringen af de fysiske adgangs- og kontrolforhold, at det ikke giver mening at adskille de to verdener ad. Sker der en hændelse i OT- eller IT-miljøet eller en Facility Management-løsning, kan det meget vel have betydning for opretholdelsen af kernedriften, som er selve omdrejningspunktet i NIS2. Omfattede virksomheder og organisationer skal kunne levere det, de skal levere. Kan de ikke det, skal der ligge en gennemtestet beredskabsplan for, hvordan de hurtigt kommer tilbage i normaldrift, og hvad det kræver.
Kend jeres risikoappetit
I Globeteam har vi en enhed, der har særligt fokus på risikovurderinger, fysisk sikkerhed og beredskab inklusive krisestyring. Enheden arbejder tæt sammen med de øvrige NIS2-fokuserede enheder i Globeteam, der beskæftiger sig med strategi, management-ydelser, OT, IT og applikationer.
“Noget af det vigtigste for mig, når jeg taler med ledelsen i en organisation er, at de har taget aktivt stilling til risici,” siger Esbern Stig Møller, der har 30 års erfaring fra henholdsvis forsvaret og politiet og er en del af Globeteams enhed med specialistkompetencer indenfor fysisk sikkerhed, beredskab og krisestyring.
“Man kan ikke forberede sig på alt, og man kan derfor heller ikke gardere sig mod alle tænkelige risikoscenarier. Men man kan godt opliste de fem største trusler mod en samfundskritisk tjeneste og derfra udarbejde en beredskabsplan for, hvad der skal ske, hvis der sker en hændelse. Med NIS2 skal den bevidsthed ganske enkelt være til stede i topledelsen, og de skal sikre, at deres ønskede risikoappetit bliver bredt forankret i organisationen.”
Globeteams NIS2-leverancer dækker alle discipliner indenfor strategisk, taktisk og operationel risiko med synergieffekter ved tværgående udarbejdelse af formålsbeskrivelser, trusselsvurderinger, gap-analyser, it-sikkerhedsarkitektur, tekniske leverancer og beredskabsplaner.
Læs artikel “Uden beredskab, ingen forretningsstrategi” af Esbern Stig Møller, senior risiko- og sikkerhedsrådgiver i Globeteam
Husk at tilmelde dig vores NIS2-nyhedsbrev.
Tilmeld dig NIS2-nyhedsbrev her
Vil du være sikker på at modtage alle artikler i NIS2-artikelserien, så husk at tilmelde dig vores NIS2-nyhedsbrev, som er målrettet personer, der arbejder med compliance og i særdeleshed NIS2.
