Ringsted er godt på vej mod fuld NIS2-compliance
NIS2-kravene træder først i kraft midt i oktober næste år, men Ringsted Forsyning er allerede på forkant med at kunne indfri kravene.
- Vi er gået fra en flad og sikkerhedsmæssig sårbar opbygning af vores IT-struktur til en langt mere intelligent og sikker opbygning, siger Thomas Sommersted, som er forsyningschef hos Ringsted Forsyning. Foto: TD-K / Ringsted Forsyning.
Danske virksomheder – herunder fjernvarmeselskaber – er omfattet af NIS2-direktivet, der skal sikre høj sikkerhed og beskyttelse af IT og OT netværks- og informationsinfrastrukturer. Kravet træder i kraft fra midt i oktober 2024, men hos Ringsted Forsyning er de på forkant og godt i gang med at implementere kravene.
- Allerede for et par år siden, tog vi beslutningen om at styrke vores IT- og driftssikkerhed og samtidig frigøre netværksdrift fra IT-drift, siger Thomas Sommersted, som er forsyningschef hos Ringsted Forsyning.
Han understreger, at Ringsted Forsyning er afhængig af, at alt kører på skinner, og at det forudsætter, at sikkerheden er i top. Det er baggrunden for, at man har valgt at være på forkant med kravene til NIS2.
Ringsted Forsyning har allerede migreret deres administrative IT til skyen med Microsoft Azure. Skiftet er sket i samarbejde med TD-K A/S og har været en stor succes, selvom Ringsted Forsyning havde sine betænkeligheder i starten. Migreringen har styrket deres sikkerhed markant, ligesom de i dag har mulighed for at tilpasse ydelser efter behov.
- Vi er gået fra en flad og sikkerhedsmæssig sårbar opbygning af vores IT-struktur til en langt mere intelligent og sikker opbygning, via et tæt samarbejde med vores IT-samarbejdspartner. Vi bliver i dag løbende opdateret og rådgivet om nødvendige nye sikkerhedsmæssige tiltag, men får da også at vide, når noget er overkill. Det er et betryggende samarbejde, vi har. I dag scorer vi højt på IT-sikkerhed, i forhold til lignende virksomheder. Og det skyldes ikke mindst, at vi har fået mulighed for at skrue op og ned for andre ydelser, når behovet opstår. Denne form for IT-organisering, som vi har gennemført hos os, kan jeg kun anbefale til andre, siger Thomas Sommersted.
NIS2-direktivet
NIS2-direktivet er den EU-dækkende lovgivning om cybersikkerhed. Den indeholder retlige foranstaltninger til at øge det overordnede cybersikkerhedsniveau i EU.
EU's cybersikkerhedsregler, der blev indført i 2016, blev ajourført ved NIS2-direktivet, der trådte i kraft i 2023. Den moderniserede de eksisterende retlige rammer for at holde trit med den øgede digitalisering og et stadigt voksende trusselslandskab for cybersikkerhed.
Ved at udvide cybersikkerhedsreglernes anvendelsesområde til nye sektorer herunder fjernvarme forbedrer det yderligere offentlige og private enheders, de kompetente myndigheders og EU's kapacitet til at reagere på hændelser yderligere.
For at opnå fuld NIS2-compliance har Ringsted Forsyning implementeret redundant netværksudstyr og redundante serveropsætninger, samt en række andre tekniske og compliancemæssige tiltag.
Disse skridt er afgørende for at sikre, at Ringsted Forsyning opfylder alle NIS2-kravene og beskytter deres vigtige infrastruktur mod cybertrusler.
Den løsning som Ringsted Forsyning fik implementeret i samarbejde med TD-K A/S, har ikke kun rustet dem bedre mod nedbrud og hackerangreb, den har også optimeret deres arbejdsgange. I dag kan de f.eks. tilgå alle deres ressourcer på tværs af afdelinger og lokationer via et lukket MPLS-netværk. Det har gjort arbejdsgangene både nemmere og mere sikre.
Virksomheder, der af medlemsstaterne er udpeget som operatører af væsentlige tjenester i ovennævnte sektorer, skal træffe passende sikkerhedsforanstaltninger og underrette de relevante nationale myndigheder om alvorlige hændelser, herunder:
- risikoanalyse og ledelsessystem til styring af informationssikkerheden
- håndtering af hændelser (forebyggelse, afsløring og reaktion på hændelser)
- forretningskontinuitet og krisestyring
- forsyningskædesikkerhed inklusiv sikkerhedsrelaterede aspekter ifm. forholdet mellem hver enhed, dens leverandører eller tjenesteudbydere såsom udbydere af dataopbevaring, databehandling eller tjenester til håndtering af sikkerhed
- sikkerhed i netværks- og informationssystemer: udvikling og vedligeholdelse, herunder sårbarhedsvurderinger, håndtering og videregivelse
- politikker og procedurer (test og revision) til vurdering af, hvor effektiv indsatsen er kryptering
Et væsentligt skift fra tidligere er det stærke fokus på ledelsesansvar – cyber- og informationssikkerhed er ledelsens ansvar. Ledelsen skal godkende risikostyring og er ansvarlig for bl.a. at sikre den nødvendige uddannelse af medarbejdere.
