NIS2 uddannelseskrav - Sådan sikrer du informationssikkerhed
NIS2 har lovkrav om uddannelse inden for informations- og cybersikkerhed. Vi gennemgår kravene og giver forslag til, hvordan I som organisation kan leve op til disse lovkrav.
Hvad siger NIS2 om uddannelse?
Det er ikke usædvanligt, at den første vej ind for et angreb er gennem mennesker, der bliver narret til at klikke på et link, åbne vedhæftede filer eller på anden måde åbner vejen for et angreb. Det er derfor vigtigt at sikre, at vi levende væsener er inkluderet i det arbejde, der gøres for at styrke sikkerheden.
NIS2 har taget højde for dette ved at indføre to krav vedrørende uddannelse inden for området informations- og cybersikkerhed. I NIS2-direktivet er dette reguleret i Artikel 20 gennem følgende to dele:- Sikre at medlemmerne af ledelsesorganerne i væsentlige og vigtige enheder er forpligtet til at gennemgå uddannelse
- Og skal opfordre væsentlige og vigtige enheder til regelmæssigt at tilbyde tilsvarende uddannelse til deres ansatte, så de opnår tilstrækkelig viden og kompetence
Uddannelse er også normalt en del af ledelsessystemer for informationssikkerhed (ISMS); ifølge ISO 27001:2022 er det kontrolpunkt 6.3, der omhandler området.
Hvordan håndterer man uddannelse i NIS2?
Når vi starter med den mere generelle uddannelse, der skal tilbydes medarbejdere, handler det om at opbygge en mere overordnet viden om de aktuelle trusler, samt hvordan man undgår dem. Det er normalt, hvad der indgår i de mere klassiske 'Awareness'-programmer.
Det skal bemærkes, at det er vigtigt at holde disse opdaterede for at sikre, at nye trusler inkluderes i uddannelsen, og at opdateringer foretages omkring ændringer i truslerne. Der bør også være mulighed for at sikre, at uddannelsen tager højde for eventuelle sektorspecifikke trusler.
Cegal kan på området tilbyde vores tjeneste "Cyber Security Awareness", som inkluderer grundmateriale til uddannelse inden for området. Sektorspecifikke dele kan nemt tilføjes til denne tjeneste. Som standard inkluderer vi også muligheden for at teste medarbejdernes viden gennem simulerede forsøg, såsom phishing-tests.
Det er også vigtigt at overveje, om visse dele af virksomheden kan have behov for yderligere uddannelse inden for mere specifikke områder. Det kan for eksempel være personale, der har ansvar for IT- og OT-udstyr, samt personale i dele af virksomheden, der anses som særligt følsomme.
Ledelsen bør udover den generelle uddannelse også få en mere dybdegående og tilpasset uddannelse. Kravet er, at ledelsen skal have forståelse for de risikostyringstiltag, der gennemføres for at sikre virksomheden mod de trusler, der findes mod driften. Artikel 21, stk. 2 beskriver, hvilke områder der skal dækkes.
Vi anbefaler, at ledelsens uddannelse for NIS2 gennemføres som en undervisningsbaseret uddannelse for at sikre god interaktion og mulighed for at uddybe de spørgsmål, som ledelsen rejser under uddannelsen. Uddannelsesmaterialet bør desuden være tilpasset både ledelsens vidensniveau og virksomhedens specifikke forhold med hensyn til implementerede IT- og OT-systemer samt identificerede trusler.
Cegal og NIS2
Cegals konsulenter inden for informations- og cybersikkerhed kan støtte jer i arbejdet med at etablere ISMS, enten ved at tage et samlet ansvar og drive arbejdet sammen med jer, eller ved at yde støtte i specifikke dele af etableringen af ISMS.
Cegals tjeneste "Cyber Security Awareness" tilbyder både standardiserede uddannelser inden for informations- og cybersikkerhed samt mulighed for specialtilpassede uddannelser. Tjenesten muliggør god opfølgning på, hvem der har gennemgået uddannelsen, og tilbyder simulerede phishing-tests for at måle vidensniveauet på det specifikke område.