Revisorerklæring om overholdelse af NIS2-direktivet

En revisorerklæring om overholdelse af NIS2-direktivet er resultatet af den gennemgang, vi foretager for at vurdere, om en virksomhed eller en specifik serviceleverance lever op til kravene i NIS2 og den danske implementering af direktivet, set i lyset af virksomhedens implementerede tekniske, organisatoriske foranstaltninger, IT-sikkerhedspolitikker og procedurer.

Baggrunden for at få udarbejdet en revisorerklæring, som vil være efter ISAE 3000-standarden, som også kendes i GDPR-sammenhænge, i forhold til NIS2-direktivet kan være et krav fra en eller flere kunder som er omfattet af NIS2. Det kan også være tilsynsmyndigheder, der ønsker at lade en NIS2-omfattet organisation blive auditeret for at sikre efterlevelsen af lovgivning. 

NIS2 omfatter en række sektorer, der vurderes til at være samfundskritiske. NIS2 vil samtidigt omfatte enheder, der opfylder et fastsat størrelseskrav, der dog kan fraviges ved særlig kritikalitet.

Omfattede enheder benævnes typisk ”væsentlige enheder og vigtige enheder”, hvilket indikerer deres rolle i samfundet og hvilken impact et evt. cybersikkerhedsangreb kunne få på kritisk infrastruktur.

Leverandører til disse omfattede enheder, kan også risikere at være underlagt NIS2 lovgivning, da der skal overholdes krav til sikring af hele leverandørkæden for de omfattede enheder.

Processen ved udarbejdelsen af en revisorerklæring ift. NIS2-direktivet

Vi vurderer virksomhedens overholdelse af NIS2-direktivet ved at følge relevante standarder og retningslinjer. I løbet af vores arbejde gennemgår vi virksomhedens dokumentation, interviewer relevante medarbejdere og ser nærmere på den tekniske infrastruktur.

Dialogen under erklæringsprocessen er ofte værdiskabende, da den fungerer som faglig sparring i forhold til, hvordan virksomheden kan forholde sig til de forskellige elementer af NIS2. Vi har mangeårig erfaring med denne proces og kan facilitere en struktureret implementering, så pragmatisk som muligt, uden overimplementering.

Resultatet af erklæringsarbejdet er, at virksomheden bliver bevidst om, hvor den lever op til NIS2-direktivet, samt hvilke områder der eventuelt skal arbejdes videre med.

NIS2-direktivet er en opfølgning på NIS-direktivet fra 2016 og omhandler krav til en forbedring af cybersikkerheden i EU og særligt i forhold til aktører i sektorer der håndterer kritisk infrastruktur eller digitale tjenester.

Direktivet stiller strengere krav til medlemslandene inden for sikkerhed, rapportering og samarbejde mellem virksomheder og myndigheder.

Der stilles også krav til implementeringen af passende sikringsforanstaltninger og procedurer der bidrager til håndteringen af cybersikkerhedstrusler, hvilket gerne skulle føre til et øget sikkerhedsniveau mod cybersikkerhedstrusler i EU.

Gennemgang i forbindelse med udarbejdelsen af revisorerklæringen vurderer blandt andet følgende områder:

  • Er der politikker for risikoanalyse og informationssikkerhed?
  • Hvordan håndteres informationssikkerhedshændelser?
  • Sikres driftskontinuiteten ved krisestyring?
  • Er der implementeret sikkerhedsrelaterede aspekter i forsyningskæden?
  • Er der implementeret sikkerhed i forbindelse med erhvervelse, udvikling og vedligeholdelse af informationssystemer?
  • Er der politikker og procedurer der vurderer effektiviteten af foranstaltninger ved styring af cybersikkerhedsrisici?
  • Har virksomheden sikret at cyberhygiejnepraksisser er implementeret og cybersikkerhedsuddannelse udføres?
  • Hvordan beskyttes kritiske aktiver ved brugen af kryptografi?
  • Hvordan håndteres personalesikkerhed, adgangskontroller og forvaltning af aktiver?
  • Er systemer sikret ved brug af multifaktorautentificering og sikrede kommunikationssystemer?

Erklæringen tager også højde for brugen af underleverandører (f.eks. cloud-løsninger), og disse kan enten inkluderes eller ekskluderes i vurderingen.

Vi kan også deltage i den indledende overvejelse, inden arbejdet påbegyndes, da der er mange faktorer, der skal overvejes i forhold til omfanget af vurderingen og sikkerhedsniveauet.

NIS2-direktivet – kort fortalt

NIS2-direktivet (Network and information Security) er en opfølgning på NIS-direktivet fra 2016 og gælder for alle relevante aktører inden for EU, som håndterer kritisk infrastruktur og digitale tjenester. Den har til formål at forbedre cybersikkerheden i medlemslandene ved at indføre strengere krav til sikkerhed, rapportering og samarbejde mellem virksomheder og myndigheder.

Direktivet kræver, at virksomheder har implementeret passende sikkerhedsforanstaltninger og procedurer til håndtering af cybersikkerhedstrusler, herunder krav om at rapportere sikkerhedshændelser inden for en fastsat tidsramme. Den gælder for enhver form for håndtering af netværk og informationssystemer, herunder indsamling, opbevaring og behandling af data.

 

 

Grant Thornton kan hjælpe

En ISAE 3000 NIS2 erklæring kan hjælpe særligt leverandører til NIS2-omfattede organisationer med at vise at NIS2-krav bliver efterlevet. NIS2-omfattede organisationer skal føre tilsyn med sine leverandører, og derfor er denne revisorerklæring et godt værktøj.

Grant Thornton kan hjælpe med både struktureringen, en GAP-analyse, og selve erklæringsforløbet. Ræk ud til os for at få et overblik.

Martin Brogaard Nielsen 240x277
Martin Brogaard Nielsen
Partner | IT Risk Assurance & Advisory Service
Kontakt Se mere om Martin Brogaard Nielsen
Martin Brogaard Nielsen 240x277
Kontakt Se mere om Martin Brogaard Nielsen
Martin Brogaard Nielsen 240x277
Partner | IT Risk Assurance & Advisory Service
Martin Brogaard Nielsen
+45 61 31 00 01

Se også:

ISAE 3000 GDPR – IT-revisorerklæring

ISAE 3000 Cyber – IT-revisorerklæring

GAP-analyser

ISAE 3000 GDPR – IT-revisorerklæring

GAP-analyser

ISAE 3000 Cyber – IT-revisorerklæring