Vi skrev tidligere i år, at vi gerne ville holde et NIS2-webinar med fælles vidensdeling og afledte opmærksomhedspunkter. Vi er desværre ikke kommet i mål med dette. Vi har haft en snor ude efter eksterne oplægsholdere til webinaret, men det er ikke lykkes at få enderne til at mødes i forhold til tidspunkt og indhold.
Derfor sender vi her i stedet en kort status om, hvordan vi herfra ser på NIS2-reglerne – og så er I meget velkomne til at række ud til jeres Service Manager, hvis I vil vide mere.
Leverandørstyring og NIS2
Når I er direkte omfattet af NIS2, er I formentlig allerede opmærksomme på de krav, der bliver stillet til jer. Det kan eksempelvis være minimumskravene i NIS2 artikel 21, stk. 2. Vi forventer særligt, at I vil stille spørgsmål til os, for at overholde jeres forpligtelse omkring forsyningskædesikkerhed (jf. NIS2 artikel 21, stk. 2, litra d).
Vi har allerede været i dialog med de første par kommuner, som har stillet opklarende spørgsmål til vores sikkerhedsprocedurer og vores kædeansvar for underdatabehandlere mv.
Da Systematics processer allerede er tilpasset (og certificeret) med ISO27001-standarden, har der indtil videre ikke vist sig krav til tekniske eller proceduremæssige tiltag, som vi ikke allerede har fokus på.
Vi har også benyttet anledningen til at have en dialog med vores underleverandører, så vi er sikre på, at de stadig lever op til kravene, vi har stillet til dem, og at vi dermed stadig lever op til vores kædeansvar.
Tilføjelse til eksisterende processer
Vi er klar over, at den tunge opgave i forbindelse med leverandørstyring lander hos jer. Baseret på vores foreløbige erfaringer fra andre kunder virker det til, at NIS2 kan håndteres som en tilføjelse til eksisterende tilsynsprocesser. Der er synergier imellem GDPR og NIS2, som med fordel kan udnyttes i jeres årshjul. Det vil for eksempel være i relation til vores databehandlerkonstruktion. Her ser vi, at kunder blot har tilføjet ekstra spørgsmål vedrørende NIS2 i deres eksisterende audit af databehandlere, frem for at indføre helt nye processer og tilsyn i forbindelse med NIS2.
Vi gør mange ting fra Systematics side for at efterleve vores egen NIS2-forpligtelse. Vi har eksempelvis selv indarbejdet de skærpede krav til ledelsesansvar og NIS2-undervisning af ledelsen, ligesom vi også har implementeret foranstaltninger til for eksempel forsyningskædesikkerhed. Meget af arbejdet baserer sig på vores i forvejen gode arbejde med ISO27001-certificeringen og ISAE3000-erklæringer.
Vi føler os rigtig godt forberedt til at assistere jer, hvis der opstår spørgsmål i forbindelse med kommende tilsynsarbejde.