Site Search

Loading Results

Øget cybersikkerhed med sikker it-arkitektur

Zero Trust
Zero Trust - øget cybersikkerhed med sikker it-arkitektur

Tilstrækkelig cybersikkerhed kræver strategiske sikkerhedsinitiativer og moderne it-arkitektur. Zero Trust-tilgangen er en skræddersyet it-arkitektur, der skaber øget it- og datasikkerhed ved at overvåge bruger- og netværksadgange i realtid.

Cybersikkerhed starter ved den rette it-arkitektur

For at sikre et tilstrækkeligt sikkerhedsniveau, der understøtter databeskyttelse og gør virksomheden i stand til at registrere angreb i rette tid samt at kunne reagere hurtigt nok på disse, er det afgørende at rette sin indsats mod en korrekt it-sikkerhedsarkitektur. It-sikkerhedsarkitekturen er bestemmende for, hvordan tekniske sikkerhedsforanstaltninger er etableret og integreret på tværs af hele virksomheden - og afgørende for, at lovgivningsmæssige og regulatoriske krav om it- og datasikkerhed overholdes.

Den rette it-arkitektur understøtter, at it- og datasikkerheden er intakt hele vejen rundt - fra datagenerering, -opbevaring, -brug, -overførsel til -aktivering og -destruktion. Med andre ord dækker it-sikkerhedsarkitekturen alle komponenter, inklusiv it-systemer, -platforme og -infrastruktur såvel som det netværk, der forbinder det hele internt og eksternt.

I den traditionelle tilgang til it-sikkerhed er det primært netværksbaserede adgange og statiske sikkerhedspolitikker, der er centralt i forhold til it-sikkerhed og -kontrol. Men i takt med at flere brugere både internt og eksternt har adgang til en virksomheds netværk - medarbejdere, der arbejder hjemmefra, kunder, leverandører og samarbejdspartnere - er der stor risiko for en kompromittering af sikkerheden, og for at cyberkriminelle eller andre trusselsaktører får adgang til virksomhedens følsomme data. Der er behov for at tænke it-sikkerhed på en ny måde, og det er her, at Zero Trust-tilgangen skaber stor værdi og øget cybersikkerhed.

It-sikkerhedsarkitektur

Traditionel Zero Trust
Fysisk godkendelsefaktor
 Logisk godkendelsesfaktor
Fladt netværk Segmenteret/micro-segmenteret netværk
Statistiske politikker Dynamiske politikker
Netværksbaseret Kontekstbaseret
  Cloud-host SaaS
  Identitets- og brugerstyring

Øget cybersikkerhed med Zero Trust-tilgangen

Zero Trust er ikke en softwareløsning eller et enkeltstående system. Det er et strategisk initiativ, der bygges på virksomhedens eksisterende it-arkitektur, og som ikke kræver, at eksisterende teknologi erstattes.

Zero Trust-tilgangen understøtter gennemsigtighed i databehandling og -aktiviteter, identificerer følsomme eller kritiske data og implementerer et
tilstrækkeligt niveau af sikkerhed på tværs af hele forretningen. Zero Trust-modellen anerkender, at tillid kan være en sårbarhed, og at det kan have alvorlige konsekvenser, når hackere og trusselsaktører har adgang til virksomhedens netværk og frit kan tilgå følsomme data, i skyen, lokalt eller lagret hos it-udbyderen.

Med Zero Trust-metoden opdages cyberangreb og uautoriserede brugeradgange ved at behandle alle sikkerhedsrelevante oplysninger og logfiler centralt for at bekræfte, at alle foranstaltninger for databeskyttelse er på plads, inden en bruger får adgang til netværket. Det indebærer omfattende sikkerhedsovervågning, som giver virksomheden mulighed for at identificere og afkode mistænkelig behandling af data ved at lære af den legitime daglige brug af følsomme data og afvigelser herfra.

Sådan virker Zero Trust-modellen

Zero Trust-modellen benytter mikrosegmenteret databeskyttelse og netværksadgange, hvilket vil sige, at enhver brugeradgang er verificeret og kræver godkendelse, førend brugeren har adgang til følsomme data. Zero Trust-tilgangen er ikke begrænset til omfanget af virksomhedens egne datacentre, men sikrer også databeskyttelse og kontrollerede adgange samt overvågning af datatrafik til skyen, til webtjenester og til it-tjenester, der er outsourcet til en ekstern udbyder. Således understøttes sikker brugeradfærd samt uregelmæssigheder - og potentielt fjendtlig brugeraktivitet overvåges og spores i realtid.

Identitet er kernen i en Zero Trust-strategien for kun at give berettigede personer adgang til ressourcer og interne data med korrekt autorisation.

Brugere og enheder godkendes, inden de får netværksadgang. Regler og politikker anvendes dynamisk baseret på den enhed og platform, hvorfra brugeren logger på netværket.

Applikationer og servere segmenteres efter prioritet med begrænset mulighed for kommunikation på tværs af enheder og servere. Uautoriseret trafik til og fra datacenteret blokeres.

Sikkerhedskontrol anvendes på alle brugere og enheder (inklusiv mobilenheder), inden fjernadgang til datacenter eller ressourcer i skyen muliggøres.

Direkte internetadgang begrænses, så sikkerhedspolitikker håndhæves og segmenterer fjernadgang og kommunikation på tværs af netværk og platforme.

Skalerbare cloud-tjenester bruges til at styre brugeradgang til ressourcer hvor som helst.

Strategi, governance og kontinuerlig realtidsovervågning er afgørende for programmets succes.

Vi hjælper jer med implementering af Zero Trust ved at:

  • Identificere, kategorisere og strukturere kritiske og følsomme datagrupper
  • Kortlægge forretningsmodellen og it-arkitekturen for at integrere og tilpasse Zero Trust hertil
  • Implementere data governance (processer og systemer for databeskyttelse)
  • Løbende sikkerhedsovervågning

Zero Trust: Implementering i fem trin

Grundlæggende for Zero Trust-modellen er synlighed og sikkerhed for alle værdifulde aktiver i virksomhedens netværk. Et værdifuldt aktiv i form af data er bl.a. personligt identificerbare oplysninger, intellektuel ejendomsret eller enhver anden kritisk information af høj strategisk værdi for virksomheden eller potentielle angribere.


Det første skridt til at implementere Zero Trust i dit netværk er derfor at identificere kritiske aktiver af høj værdi. Derfra er næste skridt at kortlægge datatrafikken internt og eksternt i virksomheden for fuldt ud at forstå adgangen til de værdifulde aktiver. Ved hjælp af disse oplysninger opbygger vores eksperter en målrettet Zero Trust it-arkitektur skræddersyet til jer inklusiv en komplet implementeringsplan, der også indbefatter relevante og nødvendige datapolitikker, som herfra sikrer, at I kan overvåge jeres brugeradgange i realtid.

PwC samarbejder med jer, gerne med udgangspunkt i en femtrinsmodel, for at identificere, hvor I er nu, hvad jeres forretningsmål er, og hvordan disse opnås og beskyttes på bedste vis:

Vores globale partnerskab, der bidrager til at styrke cybersikkerheden lokalt, såvel globalt

Vores partnerskab med Palo Alto Networks, som er blandt de førende globalt inden for cybersikkerhed, gør os i stand til at levere komplette sikkerhedsløsninger til vores kunder inden for Zero Trust, Incident & Threat og managed services.

Læs mere

Cyber Transformation

Beskyt jeres forretningsprocesser ved at identificere og mindske cyberrisici, udføre avancerede systemtests og sikre overholdelse af regulativer.

Læs mere

Kontakt os

Mads Nørgaard Madsen

Direktør og leder af Consulting-forretningen, København, PwC Denmark

2811 1592

E-mail

Marc Jerner

Partner, Technology Implementation, Technology & Security, København, PwC Denmark

4099 4698

E-mail

Hvad er NIS2-direktivet?

NIS direktivet regulerer virksomheder og myndigheder på cyber- og informationssikkerhedsområdet. Direktivet bliver udmøntet i nationale bekendtgørelser og fungerer som bindende lov, hvilket betyder, at din organisation vil skulle efterleve kravene i bekendtgørelsen.

NIS2-direktivet udvider kravene og sanktioneringen af cybersikkerhed for at harmonisere og strømline sikkerhedsniveauet på tværs af medlemslandene, og med skærpede krav for flere sektorer, betyder det, at din organisation skal forholde sig til blandt andet risikostyring, kontrol og tilsyn.

Hvem er omfattet af NIS2-direktivet?

NIS2 udvider i væsentlig grad omfanget af organisationer, og skelner mellem ”essentielle entiteter” og ”vigtige entiteter” (se samtlige sektorer i tabel nedenfor).

Omfanget af sektorer udvides (se samtlige sektorer i tabel nedenfor), da Kommissionen ønsker at dække alle organisationer, der varetager vigtige funktioner i samfundet. Det betyder altså, at NIS2 også vil gælde for sektorer som fødevareproduktion, affaldshåndtering og hele forsyningskæden.

I energisektoren har omfanget eksempelvis været begrænset til virksomheder, der producerer, forsyner eller balancerer energi i el- og naturgassektoren. I NIS2 forventer vi, at forsyningskæden, fx vindmølleproducenter, ligeledes bliver omfattet af kravene, da direktivet forsøger at sikre en 360 graders harmonisering af cybersikkerhed.

NIS2-direktivets skærpede krav til cybersikkerhed omfatter også offentlige myndigheder - læs mere her.

Hvilke krav stiller NIS2 til din organisation?

NIS2-direktivet stiller både krav til ledelse, risikostyring, forretningskontinuitet og rapportering til myndighederne:

  • Ledelsen i jeres organisation skal være bekendte med kravene i direktivet og risikostyringsindsatsen. De får et direkte ansvar for, at cyberrisici bliver identificeret og håndteret samt, at kravene overholdes.
  • Øgede krav til risikostyring og robusthed betyder, at din organisation skal risikostyre og implementere både skadesforebyggende og -begrænsende foranstaltninger, der reducerer risici og konsekvenser. Minimumskrav er fx incident management, sikring af cybersikkerhed i forsyningskæder, netværkssikkerhed, adgangskontrol og kryptering.
  • Jeres organisation skal forholde sig til, hvordan I vil sikre forretningskontinuiteten i tilfælde af, at I skulle blive ramt af en større cyberhændelse. Dette indebærer eksempelvis genopretning af systemer, nødprocedurer og etablering af en kriseorganisation.
  • Jeres organisation skal have etableret processer for, hvordan I vil sikre den korrekte rapportering til myndighederne. Der stilles blandt andet krav til, at større hændelser rapporteres inden for 24 timer.

Sådan implementerer du NIS2-kravene

Hent vores trin-for-trin-guide

Download

Hvordan fører myndigheder tilsyn, håndhæver og sanktionerer?

Med implementeringen af NIS2-direktivet skal myndighederne udvide tilsynet både i dybden og bredden. I dybden, fordi tilsynsmyndigheder er forpligtet til at håndhæve kravene i direktivet, og i bredden, fordi omfanget af direktivet er udvidet til at gælde flere sektorer.

Essentielle entiteter kan forvente løbende tilsyn såsom revisioner, rapportering og peer reviews, mens vigtige entiteter kan forvente tilsyn, tvungne revisioner og rapportering, hvis der er mistanke om, at organisationen ikke lever op til kravene.

Mulighed for sanktionering omfatter bl.a. bøder, tvungne revisioner, sanktionering af ledelse mv.

Overblik over særlig kritiske og kritiske entiteter

Omfattede sektorer:

  • Post- og kurertjenester – klargøring, sortering, transport og levering af post og pakker
  • Affaldshåndtering – opsamling, transport, gendannelse og bortskaffelse
  • Kemiske produkter – fremstilling, produktion og distribution
  • Fødevare - fremstilling, distribution og produktion Kritisk
  • Fremstilling/produktion af pharma, elektronik, optisk udstyr, maskineri, køretøjer
  • Udbydere af online markedspladser, søgemaskiner, sociale platforme

Omfattede sektorer:

  • Energi – producenter, operatører, forsyning, distribution, transmission og salg af elektricitet, fjernvarme- og fjernkøling, olie, gas og brint, herunder operatører af ladestandere
  • Transport via luft, jernbane, vej og vand
  • Finans - kredit, handel, marked og infrastruktur
  • Sundhed – forskning, produktion, udbydere af services og fremstillere af udstyr og råvarer
  • Drikke- og spildevand – leverandører, distributører, indsamling, bortskaffelse 
  • Digital infrastruktur – internetudvekslingspunkter, DNS, topdomæneadministratorer, cloudcomputing, datacentertjenester, indholdsleveringsnetværk, tillidstjenester, kommunikationsnet og kommunikationstjenester (tele- og net)
  • IKT-tjenester (B2B) – administrerende tjenester og sikkerhedstjenester
  • Offentlig forvaltning – centraladministrationen, regioner og kommuner
  • Rumfart – infrastruktur, software og services

CFO'ens CyberGuide: Webcast om NIS2-direktivet

Se eller gense webcasten, hvor PwC's eksperter går i dybden med, hvordan CFO'en og direktionen skal forholde sig til efterlevelse af NIS2-direktivet, der regulerer de driftskritiske aktiver i jeres organisation. Du får overblik over de væsentligste elementer i NIS2, samt hvordan du finder ud af, om jeres organisation er omfattet af direktivet, og hvordan I sikrer jer, at I efterlever kravene.

Playback of this video is not currently available
45:41

PwC hjælper jer med at leve op til de nye lovkrav

Konkret kan vi hjælpe med:

  • at identificere, hvorvidt I vil blive omfattet af direktivet
  • at identificere gaps i forhold til kravene i direktivet
  • implementering af både organisatoriske og tekniske krav i jeres organisation
  • at etablere de kapabiliteter, der er nødvendige for at varetage forpligtelserne i ledelsen.

Har I brug for hjælp, er I velkomne til at kontakte PwC’s Technology & Security-afdeling.

Kontakt os

PwC’s Cyberteam er en del af PwC’s Technology & Security-afdeling, som tæller op mod 200 konsulenter. Vi har derfor adgang til en lang række specialister inden for bl.a. cyber- og informationssikkerhed og kan bistå med rådgivning og vejledning – fra juridisk og forretningsmæssig rådgivning til teknisk rådgivning.

PwC er en del af et bredt NIS2-netværk

PwC er en del af et bredt NIS2-netværk på tværs af EMEA, der består af 150 erfarne fagfolk inden for cybersikkerhed, risikostyring, incident response, governance, compliance og jura. Dette netværk er blevet etableret for at kunne give vores kunder den bedst mulige rådgivning om kravene i NIS2-direktivet. 

Vi hjælper med at forstå regulativet, og hvad det har af betydning for din virksomhed eller organisation, herunder at identificere, hvor I allerede opfylder kravene, og undersøge, hvor der er behov for indsats. Vi støtter jer desuden på bedst mulig måde i at igangsætte tiltag, så I overholder de lovgivningsmæssige krav, der stilles – både lokalt og på EU-plan. 

Hvis I vil vide mere, er I velkommen til at kontakte os.

Sådan implementerer du NIS2-kravene

Hent vores trin-for-trin-guide

Download

Få seneste nyt fra PwC

Vær på forkant med nye tiltag og tendenser i erhvervslivet. Du bliver også inviteret til agendasættende events, hvor vi sammen får ny viden, perspektiver og relationer.

Tilmeld nyhedsbrev

Publikationer og udgivelser

Seneste publikationer, analyser og undersøgelser om emner som skat, regnskab, IFRS, revision, moms, told og afgifter.

Læs mere

{{filterContent.facetedTitle}}

Kontakt os

William Sharp

Partner, Technology & Security, Aarhus, PwC Denmark

8932 0076

E-mail

Aleksandar Predrag Piletich

Director, Technology & Security, Hellerup, PwC Denmark

2928 5743

E-mail

Følg PwC

Felter, markeret med stjerne, skal udfyldes.(*)

Ved at indsende denne formular giver du samtykke til, at PwC må behandle de personoplysninger, du har indtastet for at kunne håndtere din henvendelse. Læs mere om dine rettigheder, samt hvordan du kan kontakte PwC og/eller klage i PwC’s privatlivspolitik.

Hide
Om os Kontorer Presse Kontakt os

© 2021 - 2025 PwC. Alle rettigheder forbeholdes. PwC refererer til PwC netværket og/eller et eller flere af dets medlemsfirmaer, hvor hver enkelt virksomhed er en særskilt juridisk enhed. Se www.pwc.com/structure for yderligere detaljer.