Er din organisation klar til NIS2’s krav om risikostyring?

En ny version af den internationale standard for styring af informationssikkerhedsrisici, ISO/IEC 27005, er netop blevet oversat til dansk.

Der er ingen tvivl hos Majken Prip, konsulent hos Dansk Standard:
- Risikostyring i forhold til informations- og cybersikkerhed er afgørende for virksomheder, siger hun og fortsætter:

- Det handler både om at beskyte fortrolige og følsomme informa oner, men også om at have hånd i hanke med de processer, der skal sikre forretningskontinuitet, hvis og/eller når uheldet er ude. Det er en proaktiv tillgang, der desuden styrker tilliden i virksomheden.

Risikostyring er både nødvendigt og fordelagtig

Her kommer den vejledende standard ISO/IEC 27005 for styring af informa onssikkerhedsrisici l gavn, ligesom den kan hjælpe virksomhederne med at leve op l det ufravigelige krav om risikostyring, som findes i NIS2-direktivet.

At struktureret risikostyring af it-sikkerheden både er en nødvendighed og en fordel, bliver understreget af Phillippe Roy, security advisor i KMD:
- Risikostyring kan bruges l at opdage poten elle trusler, før de bliver farlige, forklarer han.
- Ved at implementere en effektiv risikostyring kan man iden ficere, vurdere og håndtere disse risici på en struktureret måde. Det gør en organisation mere robust, konkurrencedygtig og i stand til at tilpasse sig et dynamisk forretningsmiljø. Alle virksomheder bør have en risikohåndteringsplan. 

Majken Prip tilføjer:
- Risikostyring er et kæmpe – og for nogen uoverskueligt – arbejde eller projekt at sæte i søen. Det hjælper ISO/IEC 27005 med, for det er et metodeværktøj, som er med l at sikre, at man som organisation kommer hele vejen rundt, og har gjort sig de nødvendige overvejelser om risikoscenarier, konsekvenser og eventuelle foranstaltninger m.m.
Standarden, som udkom i en ny version sidste år, har tidligere kun foreligget på engelsk, men der har været stor interesse for en dansk oversættelse, som nu netop er udgivet.

- At ISO/IEC 27005 er blevet oversat, gør, at den er mere tilgængelig for danske virksomheder, og det vil forhåbentlig betyde, at endnu flere kan komme i gang med en risikobaseret tilgang i håndtering af informations- og cybersikkerhed, slutter Majken Prip.

Nye krav træder i kraft i 2024

NIS2-direktivet blev vedtaget af Europa-Parlamentet lbage i 2022. Direktivet skal sikre styrkelse af cyberforsvar og digital robusthed i alle EU’s medlemslande, både i offentligt og privat regi. Alle EU-lande skal have implementeret de nye love og regler i henhold til direktivet senest oktober 2024. 

Det betyder blandt andet, at der vil blive stillet øgede krav i flere virksomheder og organisationer om certificering i henhold til ISO/IEC 27000-serien, og et centralt element i direktivet er den risikostyring, som ISO/IEC 27005 behandler. Standarden er en vejledning, der specifikt omhandler vurdering og håndtering af risici inden for informationssikkerhed og giver dermed en hjælpende hånd mod at kunne leve op i den nye lovgivning.

Vil du vide mere? Deltag på Dansk Standards webinar om risikostyring med afsæt i ISO/IEC 27005 tirsdag d. 28. november, kl. 13-14.