NIS2 - Sådan arbejder du med risikostyring

Daniel Andersson Senior Information Security Consultant, Cegal Sverige. Daniel har stor erfaring med informationssikkerhed og er Certified Information Security Manager (CISM) samt certificeret Cybersecurity Practitioner (CSX-P). Med en baggrund inden for både teknologi og ledelse har Daniel et bredt blik på nutidens udfordringer og deres forskellige løsninger.

04/02/2024 |

NIS2 er tydelig med, at arbejdet med informationssikkerhed skal være risikobaseret, men hvad betyder det, og hvordan skal man definere og arbejde med risiko?

Vi ser alle forskelligt på risiko; hvad en person ser som en risiko, kan en anden se som en mulighed. For at forenkle kan man tage et eksempel med økonomisk risiko. Handel med aktier indebærer altid en risiko for at tabe penge, samtidig med at det giver mulighed for at tjene penge, hvilket betyder, at nogle ser det som en risiko, mens andre ser det som en mulighed. På samme måde er det i vores teknologiske verden; det, der anses for at være risikabelt i visse tilfælde, giver en stor forretningsmulighed.

Hvordan defineres risiko?

Den Danske Ordbog definerer risiko i tekniske sammenhænge godt, hvor essensen af definitionen er:

“mulighed for et negativt resultat; mulighed for skade, tab, fare el.lign.”

Det negative resultat i NIS2 er, at leveringen af samfundskritiske funktioner ikke kan gennemføres med den nødvendige kapacitet, hvilket negativt påvirker samfundet.

Risiko kræver derfor to komponenter: en begivenhed og en negativ effekt. Disse to komponenter danner sammen den vurderede risiko.

ISO 31000 har en bredere tilgang til risiko, hvor risikoen både kan have positive og negative virkninger, hvilket adskiller sig fra andre risikorammer, der kun håndterer de negative virkninger.

Hvordan definerer vi sandsynlighed?

Hvor sandsynligt noget er, skal estimeres ud fra den tilgængelige information, dels fra ens egen erfaring i virksomheden, men også fra andre offentlige oplysninger fra lignende virksomheder eller lignende lokationer.

Estimeringen skal udføres på en numerisk skala for at kunne indgå i beregningen af risiko; det er vigtigt, at den numeriske skala er veldefineret i risikostyringspolitikken. Niveaufordelingen af skalaen skal være håndterbar; for eksempel kan en skala fra 1-3 være for snæver, mens en skala fra 1-50 kan føre til, at der er mere diskussion om sandsynligheden er hver tredje måned eller hver fjerde måned, hvilket distraherer fra samtalen om, hvordan en risiko skal håndteres.

En skala fra 1-5 kan eksempelvis repræsentere en stigende sandsynlighed, hvor niveau 1 svarer til begivenheder, der forekommer hvert tiende år, mens niveau 5 indikerer begivenheder, der sker flere gange om året.

Hvordan definerer vi effekten?

Effekten, eller som det ofte siges, konsekvensen, skal også vurderes ud fra en defineret skala for at kunne indgå i risikoberegningen. Her foretages en vurdering baseret på tilgængelig information, både intern og ekstern. Normalt anvendes en skala, der svarer til skalaen for sandsynlighed.

Den direkte effekt kan ofte beregnes forholdsvist simpelt, dels ved hjælp af oplysninger om tabt omsætning ved driftsforstyrrelser, men også offentlig information om, hvad omkostningerne for indsats ved ransomware normalt er for virksomheder.

Den indirekte effekt kan være mere vanskelig at beregne. Her handler det om virkningen af for eksempel et dårligt omdømme, som kan føre til faldende salg, vanskeligheder med at fastholde og rekruttere medarbejdere eller andre mere komplekse økonomiske virkninger.

Med hensyn til NIS2 er det den direkte effekt på leveringen af samfundskritiske ydelser, der er det primære aspekt at tage fat på.

En skala fra 1-5 kunne for eksempel være en stigende skala fra økonomisk tab på 50.000 kroner til 10 millioner kroner, hvor 10 millioner kroner ville indebære store vanskeligheder med at fortsætte virksomheden. For større virksomheder kan det være økonomiske tab på 1 million til 300 millioner kroner, der sætter skalaen, eller endnu større beløb afhængigt af virksomhedens økonomiske forhold.

For NIS2 er det nødvendigt at vurdere, om skalaen også skal tage hensyn til disse aspekter. Det kan være, at den økonomiske skade er begrænset for virksomheden, men samfundsskaden er meget større, hvis de kritiske ydelser ikke kan leveres.

Hvordan beregnes risikoen?

Ud fra sandsynligheden og effekten kan der beregnes en risikoværdi. Normalt defineres dette som "R = S * K", hvor Risikoen er produktet af faktorerne sandsynlighed og konsekvens (effekt). For eksempel, med en sandsynlighed på 5 og en konsekvens på 3, resulterer det i en risiko på 15.

Hvordan håndteres risikoen?

En risiko kan håndteres på flere måder. Enten accepteres den, og der gennemføres ingen yderligere foranstaltninger. Alternativt undersøger man, om det er muligt at reducere enten sandsynligheden eller konsekvensen. Med ransomware-eksemplet er det muligt at reducere begge dele gennem tekniske tiltag. Dels ved at gøre det vanskeligere for ransomware at trænge ind i virksomhedens IT-miljø, men også ved at gøre spredningen af ransomware internt i virksomheden vanskeligere, hvis en enkelt enhed bliver inficeret.

At fjerne en risiko helt betyder normalt, at man må stoppe med visse aktiviteter, hvilket typisk har en negativ effekt på virksomheden. Det kan dog være nødvendigt, hvis risikoen er større end hvad der kan accepteres, og hvis foranstaltningerne til at reducere sandsynligheden og konsekvensen er for omkostningsfulde.

Hvem kan acceptere en risiko?

Det mest hensigtsmæssige er, at bestyrelsen og ledelsen fastsætter et acceptabelt risikoniveau. Ud fra dette kan virksomheden derefter konsolidere alle risici og identificere, om den samlede risiko overstiger det accepterede risikoniveau. I tilfælde af at man overstiger det accepterede risikoniveau, er det nødvendigt at håndtere det enten gennem foranstaltninger eller at tage beslutningen op til bestyrelsen og ledelsen om at ændre det accepterede risikoniveau.

Det er dog vigtigt at forstå, at risici ikke bør accepteres blindt, så længe de ligger under det accepterede risikoniveau. Der er mange foranstaltninger, der kan mindske både sandsynligheden og effekten, som er nemme at implementere, og derfor ikke bør undgås, selvom man er under det acceptable risikoniveau.

Hvad mere kan man gøre?

Det, som beskrives i denne tekst, er en simpel model for risikostyring, som er et passende startpunkt for at identificere risici og arbejde med dem. Der findes mere avancerede metoder til beregning af omkostningerne ved risici og tilknytning til "return of security investment (RoSI)". Dette er dog ikke et krav i NIS2.

Cegal og risikostyring

Cegals konsulenter inden for informationssikkerhed og cybersikkerhed har erfaring med at etablere ledelsessystemer for informationssikkerhed for regeloverholdelse både for NIS og andre regulerende rammer. Dette inkluderer etablering af styring inden for risikostyring.

Vores konsulenter har også erfaring med at lede risiko-workshops for at identificere og dokumentere de risici, der eksisterer for din virksomhed, i samarbejde med din virksomhed.