Hvordan oversætter man lige NIS2 og DORA til noget, som alle kan forstå? Det kan sommetider være svært at få ledelsen til at indse vigtigheden af et godt beredskab – men måske kan du gøre det lidt mere jordnært.
Jeg har prøvet mange interessante, men også svære ting i min karriere. Fra ransomware-angreb til insidertrusler og kompromitteret infrastruktur. Alle oplevelser har været udfordrende.
Men der er dog én type udfordring, som står over dem alle: at få sikret ledelsesforankring og budget.
De støder på lovgivning, Quantum Computing, AI og en endeløs strøm af LinkedIn-eksperter, som er rigtig dygtige til at fortælle dig alle de ting, du burde gøre, men måske ikke liiiige er kommet til endnu.
Jeg forstår godt, hvis beslutningstagerne i enhver virksomhed har svært ved at navigere og prioritere i den endeløse strøm af lovgivning og gode råd, som skal oversættes til praksis i form af teknik, mennesker og processer.
NIS2 og DORA er to af tidens mest hotte EU-reguleringer, der begge har til formål at styrke cybersikkerhed og operationel robusthed. Alt efter branche vil der være forskellige krav til, hvilken regulering man skal efterleve. Med det sagt, så indeholder begge reguleringer en god portion sund fornuft, som alle bør forholde sig til.
Det kræver dog lidt snilde at få oversat alle de komplicerede og tekniske termer til noget, dine stakeholders kan forstå. Men hvis du lykkes med det, så tør jeg næsten vædde med, at de gode beslutninger er parat til at blive truffet.
Gør det forståeligt
Men hvordan oversætter man lige NIS2 og DORA til noget, alle kan forstå?
I stedet for at indkalde til et møde med en business case fyldt med tal, så kunne det måske være en idé at holde et indlæg, hvor man med nogle eksempler gør det praktisk, forståeligt og tilgængeligt.
Jeg har eksempelvis et skab i min kælder, som kan holde mig og min familie kørende i et par dage eller tre.
Der er nærmest ingen forskel på mit skab i kælderen og det at overholde NIS2 og DORA for en virksomhed.
Begge dele er et udtryk for, at jeg og min hustru (der her udgør ledelsen) har forholdt os til risikobilledet, og på baggrund at dette har truffet nogle beslutninger.
· Jeg har lås på mine døre, der agerer som en firewall mod eksterne trusler.
· Radioen kunne lige så vel kunne være overvågning og alarmering (SIEM).
· Lommelygten sikrer synlighed (logning).
· Vores førstehjælpskasse er vores incident response plan.
Selvfølgelig vil der stadig være en masse arbejde i at få omsat alle de regulatoriske krav til noget, der fungerer rent operationelt. Men hvis du kan få ledelsen med på ideen, så vil rejsen blive både nemmere og sjovere.
Hvis du vil have et bud på en incident response plan, så kan du se webinaret afholdt den 24/4, hvor der er en vedhæftet en skabelon, du kan forme til brug i din egen virksomhed. https://www.forsikringsforeningen.dk/arrangementer/
I min næste artikel vil jeg dykke ned i, hvordan man i praksis kan demonstrere compliance indenfor områder, der b.la. har relevans for NIS2 og DORA.
