-
Nyhed Risikokategorisering og millionbøder: Bliv klar til EU’s AI ActFå et overblik over, hvad virksomheder skal være opmærksomme på for at sikre compliance, og hvordan revisoren kan spille en central rolle i implementeringen af AI Act.
-
Nyhed Få tilskud på op til 50.000 kr. til digitale løsningerFå tilskud på op til 50.000 kr. til rådgivning om digitale løsninger eller sikkerhedsforhold, såsom GDPR, ISAE 3402/3000-forløb, NIS2 GAP-analyse eller andet relateret gennem SMV:Digital. Ansøg fra 26. august 2024.
-
Nyhed Morten Høgh Petersen er ny partner hos Grant ThorntonGrant Thornton byder velkommen til ny partner Morten Høgh Petersen fra 1. august 2024.
-
Nyhed Ny partner: Asger Lehmann Høj bliver Tax Partner i Grant ThorntonAsger Lehmann Høj starter er ny Tax partner i Grant Thorntons skatteafdeling den 15. maj 2024. Asger Lehmann Høj får base på vores kontor i Randers.
Revisorerklæring om overholdelse af NIS2-direktivet
En revisorerklæring om overholdelse af NIS2-direktivet er resultatet af den gennemgang, vi foretager for at vurdere, om en virksomhed eller en specifik serviceleverance lever op til kravene i NIS2 og den danske implementering af direktivet, set i lyset af virksomhedens implementerede tekniske, organisatoriske foranstaltninger, IT-sikkerhedspolitikker og procedurer.
Baggrunden for at få udarbejdet en revisorerklæring, som vil være efter ISAE 3000-standarden, som også kendes i GDPR-sammenhænge, i forhold til NIS2-direktivet kan være et krav fra en eller flere kunder som er omfattet af NIS2. Det kan også være tilsynsmyndigheder, der ønsker at lade en NIS2-omfattet organisation blive auditeret for at sikre efterlevelsen af lovgivning.
Processen ved udarbejdelsen af en revisorerklæring ift. NIS2-direktivet
Vi vurderer virksomhedens overholdelse af NIS2-direktivet ved at følge relevante standarder og retningslinjer. I løbet af vores arbejde gennemgår vi virksomhedens dokumentation, interviewer relevante medarbejdere og ser nærmere på den tekniske infrastruktur.
Dialogen under erklæringsprocessen er ofte værdiskabende, da den fungerer som faglig sparring i forhold til, hvordan virksomheden kan forholde sig til de forskellige elementer af NIS2. Vi har mangeårig erfaring med denne proces og kan facilitere en struktureret implementering, så pragmatisk som muligt, uden overimplementering.
Resultatet af erklæringsarbejdet er, at virksomheden bliver bevidst om, hvor den lever op til NIS2-direktivet, samt hvilke områder der eventuelt skal arbejdes videre med.
Gennemgang i forbindelse med udarbejdelsen af revisorerklæringen vurderer blandt andet følgende områder:
- Er der politikker for risikoanalyse og informationssikkerhed?
- Hvordan håndteres informationssikkerhedshændelser?
- Sikres driftskontinuiteten ved krisestyring?
- Er der implementeret sikkerhedsrelaterede aspekter i forsyningskæden?
- Er der implementeret sikkerhed i forbindelse med erhvervelse, udvikling og vedligeholdelse af informationssystemer?
- Er der politikker og procedurer der vurderer effektiviteten af foranstaltninger ved styring af cybersikkerhedsrisici?
- Har virksomheden sikret at cyberhygiejnepraksisser er implementeret og cybersikkerhedsuddannelse udføres?
- Hvordan beskyttes kritiske aktiver ved brugen af kryptografi?
- Hvordan håndteres personalesikkerhed, adgangskontroller og forvaltning af aktiver?
- Er systemer sikret ved brug af multifaktorautentificering og sikrede kommunikationssystemer?
Erklæringen tager også højde for brugen af underleverandører (f.eks. cloud-løsninger), og disse kan enten inkluderes eller ekskluderes i vurderingen.
Vi kan også deltage i den indledende overvejelse, inden arbejdet påbegyndes, da der er mange faktorer, der skal overvejes i forhold til omfanget af vurderingen og sikkerhedsniveauet.
NIS2-direktivet – kort fortalt
NIS2-direktivet (Network and information Security) er en opfølgning på NIS-direktivet fra 2016 og gælder for alle relevante aktører inden for EU, som håndterer kritisk infrastruktur og digitale tjenester. Den har til formål at forbedre cybersikkerheden i medlemslandene ved at indføre strengere krav til sikkerhed, rapportering og samarbejde mellem virksomheder og myndigheder.
Direktivet kræver, at virksomheder har implementeret passende sikkerhedsforanstaltninger og procedurer til håndtering af cybersikkerhedstrusler, herunder krav om at rapportere sikkerhedshændelser inden for en fastsat tidsramme. Den gælder for enhver form for håndtering af netværk og informationssystemer, herunder indsamling, opbevaring og behandling af data.
Grant Thornton kan hjælpe
En ISAE 3000 NIS2 erklæring kan hjælpe særligt leverandører til NIS2-omfattede organisationer med at vise at NIS2-krav bliver efterlevet. NIS2-omfattede organisationer skal føre tilsyn med sine leverandører, og derfor er denne revisorerklæring et godt værktøj.
Grant Thornton kan hjælpe med både struktureringen, en GAP-analyse, og selve erklæringsforløbet. Ræk ud til os for at få et overblik.