Generelt om NIS2
Europas digitale landskab har været under konstant udvikling, og som en reaktion på de stigende trusler mod cybersikkerheden blev Network and Information Security Directive (NIS-direktivet) vedtaget. Med NIS2 forsøger EU at omfatte alle private såvel som offentlige institutioner inden for kritiske infrastrukturer. Dvs virksomheder inden for fx energi, transport, vand, sundhed, digital infrastruktur og digitale tjenester.
Det betyder, at alle virksomheder, i visse sektorer, over en vis størrelse bliver omfattet. Dermed stilles der skærpede krav for flere sektorer, som betyder, at flere organisationer skal forholde sig til blandt andet risikostyring, kontrol og tilsyn. Selvom direktivet er vedtaget i EU, udmøntes det i nationale love og bekendtgørelser.
NIS2 stiller ikke alene krav til de virksomheder, der opererer i de relevante industrier, men også til deres underleverandører, der udgør forsyningskæden. Her henvises der til den samlede proces, hvor forskellige enheder og aktører er involveret i at levere digitale tjenester til brugerne. Dette omfatter producenter af hardware og software, udbydere af datacentre og cloud-tjenester, tredjepartsleverandører og alle andre parter, der er involveret i udvikling, vedligeholdelse og levering af digitale produkter og tjenester.
Organisationer forventes at anlægge en proaktiv tilgang til at beskytte deres forsyningskæde og at samarbejde med deres leverandører for at opfylde disse krav. Herudover skal der løbende ske overvågning og inspektion af underleverandører for at sikre, at kravene efterleves hele vejen igennem forsyningskæden.
Revisorerklæring
Revisorerklæringer kan anvendes som et effektivt værktøj til at føre kontrol med virksomhedens direkte leverandører eller tjenesteudbydere.
NIS2-erklæring anvendes til at give virksomheden indsigt i de procedurer og kontroller, som en ekstern leverandører eller tjenesteudbydere har etableret for at sikre efterlevelse af NIS2 relevante krav.
Relevante spørgsmål ifm. NIS2:
Organisationer, som er underlagt NIS2-reguleringen: “Hvordan kommer jeg i gang med at sikre compliance ift. NIS2?”
Leverandører, som er underlagt NIS2-reguleringen: “Mine kunder efterspørger en revisorerklæring om NIS2 – hvad gør jeg, og kan I hjælpe?”
Vores ydelser inden for NIS2
I samarbejde med vores kunder fastlægger vi scopet for vores assistance ift. pre-audit samt erklæringen med fokus på de systemer og services, som er samfundskritiske.
Det er vores erfaring, at det bedste resultat opnås gennem en høj grad af involvering af jeres organisation, hvorfor vi har udviklet denne proces:
Scoping workshop
Scoping-workshop, hvor vi fastlægger, hvilke dele af forretningen, og hvilke systemer, processer, kontroller, kundegrupper mv., som skal omfattes af NIS2-erklæringen.
Sparring ved udarbejdelse af systembeskrivelsen
En vigtig del af erklæringen er en beskrivelse af de ydelser og de anvendte systemer (systembeskrivelsen). Her har vi stor ekspertise i at sikre det rette niveau og indhold.
Kontrolmål og kontroller
Fastlæggelse af kontrolmål og kontroller sikrer, at modtagerne får indsigt i de detaljerede kontroller, som er etableret.
Test af kontroller
Test af kontroller omfatter test af og indhentning af dokumentation for kontrollernes design, implementering og operationelle effektivitet, herunder sikring af, at kontroller effektivt afdækker risikoen/kontrolmålet.
Pre-audit
Pre-audit omfatter vores initielle vurdering af design og implementering af procedurer og kontroller. En pre-audit giver høj værdi for kunder, da de vil kunne udbedre eventuelle svagheder inden opstart af den egentlige erklæring.
ISAE 3000 type 1
ISAE 3000 type 1 anvendes typisk ved førstegangserklæringer og omfatter test af design og implementering på et givent erklæringstidspunkt.
ISAE 3000 type 2
ISAE 3000 type 2 anvendes ved periodiske erklæringer og omfatter tillige test af operationel effektivitet over en erklæringsperiode.
Kontakt os
