Brug din GDPR-fortegnelse til at få styr på net- og informationssystemer

For at kunne leve op til kravene i NIS2 skal du have et overblik over alle dine IT-OT- og IoT-systemer. Det vil sige alle de enheder i din organisation, der enten hele tiden eller en gang imellem kobler på internettet. Det er nemlig disse enheder, som du skal være sikker på, at cyberkriminelle ikke kan anvende til at kompromittere sikkerheden i din organisation. Som en del af GDPR-arbejdet skal du udarbejde en fortegnelse. Her har du oplistet alle de behandlingsaktiviteter – altså opgaver i organisationen – hvor du behandler personoplysninger. Du kender derfor allerede de IT-systemer, du anvender til dine behandlingsaktiviteter, som fremgår af fortegnelse. Med udgangspunkt i de IT-systemer, der fremgår af din GDPR-fortegnelse, kan du arbejde videre med at få overblik over øvrige systemer, som primært vil være OT- og IoT-systemer.

Brug dine GDPR- og IT-risikovurderinger til at risikovurdere efter NIS2

Som en del af GDPR-kravene skal du sikre tilstrækkelig sikkerhed i alle de behandlingsaktiviteter, som du har i din organisation. Du har derfor allerede risikovurderet de IT-systemer, der anvendes til hver behandlingsaktivitet, lige som du har risikovurderet de organisatoriske trusler, som dine behandlingsaktiviteter indeholder. Dine IT- og GDPR-risikovurderinger kan du nu bruge som udgangspunkt for dine NIS2-risikovurderinger. Gennemgå de trusler, du har identificeret til disse risikovurderinger, og undersøg om der skal tilføjes trusler mod cybersikkerheden. Husk, at det er samfundet og ikke den registrerede eller din organisation, der er i fokus, når du risikovurderer efter NIS2.

Brug dine GDPR- og informationssikkerhedspolitikker som grundlag for dine NIS2-politikker

NIS2 stiller krav om en lang række politikker og dokumentation for et tilstrækkeligt sikkerhedsniveau. Det er langt hen ad vejen de samme politikker og dokumentation, som du allerede har i forbindelse med dit arbejde med informationssikkerhed og GDPR. Du kan derfor bruge alle disse politikker som udgangspunkt og blot skrive videre på dem, så du også overholder kravene i NIS2.

Brug dine databehandleraftaler til leverandørstyring

Leverandørstyring er en væsentlig del af NIS2-arbejdet. Når du anvender leverandører, skal du være sikker på, at det ikke medfører, at din cybersikkerhed bliver kompromitteret. I GDPR er der krav om databehandleraftaler. Disse kan du anvende som grundlag for dit arbejde med leverandørstyring i NIS2. Din organisations krav til databehandlere og sikkerheden i de ydelser/systemer, som databehandleren leverer, kan du bruge som udgangspunkt for de krav, du skal stille efter NIS2.

Brug dine procedurer for håndtering af databrud til hændelseshåndtering efter NIS2

I GDPR er der et krav om, at du skal kunne identificere et brud på persondatasikkerheden og senest efter 72 timer eventuelt anmelde et sådant brud til Datatilsynet. I NIS2 skal du også være i stand til at identificere og håndtere brud på cybersikkerheden. Processen er stort set den samme. Du kan derfor anvende den politik og de procedurer, du har i din organisation til håndtering af GDPR-databrud, som udgangspunkt for håndtering af NIS2-brud. Fordelen ved at anvende samme procedurer er, at din organisation allerede kender til disse, og med nogle enkle tilføjelser til din eksisterende procedure kan du derfor opfylde kravet i NIS2.

Udnyt dine nuværende GDPR-indsatser til at blive klar til NIS2

Indsigt

22.08.2024

Er du i tvivl om, hvordan du får taget hul på opgaven med at blive NIS2-compliant? Så læs med her og få gode råd til, hvor du kan starte. Du kan nemlig med fordel udnytte de GDPR-indsatser, som du arbejder på allerede nu til at komme i gang.

NIS2-direktivet træder i kraft den 1. marts 2025, og det medfører ikke kun en lang række arbejdsopgaver til de virksomheder, der er omfattet, men også til de mange virksomheder der alene er leverandører til omfattede virksomheder.

Er din virksomhed eller organisation ISO 2700-certificeret eller har du i forvejen efterlevet disse standarder, så er du rigtig godt på vej. Har du alene arbejdet med GDPR, så er der også meget af dit arbejde, der kan genbruges og udvides, så du lever op til kravene i NIS2.

Herunder guider vores team af specialister inden for databeskyttelse dig til, hvordan du kan bruge dit nuværende GDPR-arbejde til at implementere NIS2 fuldstændigt.

For at kunne leve op til kravene i NIS2 skal du have et overblik over alle dine IT-OT- og IoT-systemer. Det vil sige alle de enheder i din organisation, der enten hele tiden eller en gang imellem kobler på internettet. Det er nemlig disse enheder, som du skal være sikker på, at cyberkriminelle ikke kan anvende til at kompromittere sikkerheden i din organisation.

Som en del af GDPR-arbejdet skal du udarbejde en fortegnelse. Her har du oplistet alle de behandlingsaktiviteter – altså opgaver i organisationen – hvor du behandler personoplysninger.

Du kender derfor allerede de IT-systemer, du anvender til dine behandlingsaktiviteter, som fremgår af fortegnelse. Med udgangspunkt i de IT-systemer, der fremgår af din GDPR-fortegnelse, kan du arbejde videre med at få overblik over øvrige systemer, som primært vil være OT- og IoT-systemer.

Som en del af GDPR-kravene skal du sikre tilstrækkelig sikkerhed i alle de behandlingsaktiviteter, som du har i din organisation. Du har derfor allerede risikovurderet de IT-systemer, der anvendes til hver behandlingsaktivitet, lige som du har risikovurderet de organisatoriske trusler, som dine behandlingsaktiviteter indeholder.

Dine IT- og GDPR-risikovurderinger kan du nu bruge som udgangspunkt for dine NIS2-risikovurderinger.

Gennemgå de trusler, du har identificeret til disse risikovurderinger, og undersøg om der skal tilføjes trusler mod cybersikkerheden. Husk, at det er samfundet og ikke den registrerede eller din organisation, der er i fokus, når du risikovurderer efter NIS2.

NIS2 stiller krav om en lang række politikker og dokumentation for et tilstrækkeligt sikkerhedsniveau. Det er langt hen ad vejen de samme politikker og dokumentation, som du allerede har i forbindelse med dit arbejde med informationssikkerhed og GDPR.

Du kan derfor bruge alle disse politikker som udgangspunkt og blot skrive videre på dem, så du også overholder kravene i NIS2.

Leverandørstyring er en væsentlig del af NIS2-arbejdet. Når du anvender leverandører, skal du være sikker på, at det ikke medfører, at din cybersikkerhed bliver kompromitteret.

I GDPR er der krav om databehandleraftaler. Disse kan du anvende som grundlag for dit arbejde med leverandørstyring i NIS2. Din organisations krav til databehandlere og sikkerheden i de ydelser/systemer, som databehandleren leverer, kan du bruge som udgangspunkt for de krav, du skal stille efter NIS2.

I GDPR er der et krav om, at du skal kunne identificere et brud på persondatasikkerheden og senest efter 72 timer eventuelt anmelde et sådant brud til Datatilsynet.

I NIS2 skal du også være i stand til at identificere og håndtere brud på cybersikkerheden.

Processen er stort set den samme. Du kan derfor anvende den politik og de procedurer, du har i din organisation til håndtering af GDPR-databrud, som udgangspunkt for håndtering af NIS2-brud.

Fordelen ved at anvende samme procedurer er, at din organisation allerede kender til disse, og med nogle enkle tilføjelser til din eksisterende procedure kan du derfor opfylde kravet i NIS2.

Har du spørgsmål? Lad os hjælpe dig videre

Har du brug for hjælp til at sikre, at du er klar til at implementere NIS2 eller har du spørgsmål til, hvordan du gør det bedst ud fra dit nuværende GDPR-arbejde, så er du altid velkommen til at kontakte vores specialister i databeskyttelse.