Schedule a demo
Infrastructure: Online
+31 70 206 00 91
Dutch English Spanish Norwegian Bokmål French Italian Swedish
Contact Us
NIS2 Compliance-guide: Sådan sporer du dine data og sikrer sikkerheden

NIS2 Compliance-guide: Sådan sporer du dine data og sikrer sikkerheden

vBoxx vBoxx
NIS2 Guides & Tips
januar 25, 2025

Forstå NIS2-compliance og datasikkerhed

NIS2-compliance er afgørende for virksomheder, der håndterer følsomme data inden for EU. Men hvordan sporer du dine data effektivt? Denne guide giver en struktureret tilgang til at opnå compliance og styrke sikkerheden.

Data er livsnerven i moderne virksomheder. At håndtere det sikkert og følge NIS2-reglerne er afgørende for at sikre beskyttelse og compliance. EU’s NIS2-direktiv understreger behovet for, at virksomheder sporer databevægelser og opretholder gennemsigtighed. Compliance handler ikke kun om at lagre data sikkert – det handler om at forstå hele rejsen, fra oprettelse til sletning.

Hvorfor NIS2-compliance kræver datasporing

NIS2-compliance sikrer, at virksomheder implementerer robuste datasikkerhedspraksisser ud over de lovmæssige krav. For at overholde reglerne skal organisationer spore data gennem hele dets livscyklus. Dette inkluderer overvågning af forsyningskædens sikkerhed og anskaffelse af netværkssystemer, som angivet i NIS2 artikel 21, paragraf 2:

“(d) Forsyningskædesikkerhed, herunder sikkerhedsrelaterede aspekter vedrørende forholdet mellem hver enhed og dens direkte leverandører eller tjenesteudbydere;

(e) Sikkerhed i forbindelse med anskaffelse, udvikling og vedligeholdelse af netværks- og informationssystemer, herunder håndtering og offentliggørelse af sårbarheder”.

Virksomheder skal overvåge, hvor data bevæger sig hen, og identificere, hvilke databehandlere og underdatabehandlere der håndterer det. At forstå dataflow hjælper med at afdække sårbarheder og reducere risici. Din virksomhed håndterer måske data sikkert, og du har muligvis endda en certificering som ISO 27001. Men hvad sker der, når data forlader din kontrol?

Fordelene ved NIS2-compliance og datasporing

1. Forbedret cybersikkerhed

Cybertrusler udvikler sig, og det er afgørende at spore dine datas rejse. NIS2-compliance forbedrer synligheden i datahåndteringen, reducerer sikkerhedsrisici og beskytter mod cyberangreb. Uden korrekt sporing kan virksomheder ikke effektivt imødegå trusler.

2. Effektiv risikostyring

Nogle gange kan data ende med at blive flyttet, brugt eller opbevaret på måder eller steder, du ikke havde planlagt. Hvert nyt skridt, dine data tager, kan medføre nye farer, og ved at vide, hvor dine data går hen, kan du spotte disse problemer tidligt. Dette giver dig mulighed for at finde hurtige løsninger for at rette op på disse problemer, før de udvikler sig til større problemer.

3. Øget tillid og compliance

Kunder og partnere forventer, at virksomheder beskytter deres information. At demonstrere NIS2-compliance opbygger troværdighed og beviser, at en virksomhed prioriterer databeskyttelse og cybersikkerhed.

Udfordringer ved NIS2-compliance

Det kan dog være komplekst at holde styr på sine data. Virksomheder, der bruger cloudtjenester eller underleverandører, står over for udfordringer med at bevare kontrollen over databevægelser. Digitale virksomheder udvikler sig, hvilket kræver løbende opdateringer af sikkerhedspraksis.

For at håndtere disse udfordringer skal du være grundig og proaktiv i at bestemme, hvordan du holder styr på data. Det betyder at udføre detaljerede kontroltjek for præcist at forstå, hvordan data bevæger sig, og hvor det ender. Derudover hjælper det at opstille stærke regler for datahåndtering med at sikre, at alle, der arbejder med dine data, behandler dem på en sikker og lovlig måde – og det er ikke kun en engangsindsats.

Sådan spores data for NIS2-compliance

Så nu ved vi, hvorfor det er vigtigt og endda gavnligt at følge dine data. Vi vil give dig et par retningslinjer, der kan hjælpe dig med selv at gøre det.

Step 1: Evaluer dine serviceudbydere.

Tredjepartstjenester, herunder cloudplatforme og analyseudbydere, behandler dine data. Sørg for, at de overholder NIS2-reglerne ved at gennemgå deres databehandlingsaftaler (DPA’er) og sikkerhedspolitikker.

illustration af dataflow gennem subprocessorer

Step 2: Identificer og evaluer underdatabehandlere

Underdatabehandlere er yderligere tredjeparter, der håndterer dine data. For at sikre NIS2-compliance skal virksomheder:

  • Gennemfør audits eller anmod om compliance-rapporter.
  • Oplist alle underdatabehandlere, der håndterer dine data.
  • Verificér sikkerhedsforanstaltninger, såsom ISO 27001-certificering.

Step 3: Overvåg dataflow uden for din direkte kontrol

Mange virksomheder mister overblikket over deres data, når det bevæger sig uden for direkte kontrol. NIS2-compliance kræver kontinuerlig overvågning og klare sporingsmekanismer. Implementér:

  • Datastyringsværktøjer til at visualisere bevægelser.
  • Adgangskontroller til at begrænse uautoriseret adgang.
  • Kryptering til sikring af data under overførsel og lagring.

At overvinde udfordringer i NIS2-compliance

Skjulte risici ved dataoverførsler

Nogle virksomheder sælger data eller foretager uautoriserede overførsler. For eksempel deler Microsofts nye Outlook-app brugerdata med over 750 tredjeparter, når privatlivspolitikken accepteres.

I sidste uge advarede den hollandske efterretningstjeneste (Hollands svar på CIA) os om sikkerhedsproblemer, der opstår i relation til den amerikanske regering. Det kom endda i landsdækkende nyheder (hollandsk artikel). Det handler om, at den amerikanske regering kan se alle data fra amerikanske virksomheder i henhold til deres Patriot Act og Cloud Act. Det gælder også vigtige virksomheder og statslige organisationer i Holland og resten af verden.

Eksempel: Microsoft

De produkter, som Microsoft tilbyder, bruges stadig af mange virksomheder. Lad os se på, hvordan en analyse ville se ud med Microsoft, uden at gå for meget i detaljer om, hvorvidt dine data faktisk er sikre mod analyse af udenlandske regeringer, og om du vil have dine data hos et firma, der blev bødet med milliarder af euro, med et B, for privatsbrud sidste år.

For det første udgør Microsoft en betydelig udfordring med hensyn til gennemsigtighed, hvilket komplicerer virksomhedernes indsats for at sikre grundig cybersikkerhed og compliance. Selvom Microsoft offentliggør en liste, der på tidspunktet for skrivningen omfatter 47 underdatabehandlere og 36 datacentre, er detaljerne om deres drift, hvordan de håndterer data, og deres sikkerhedsprotokoller fortsat mindre klare.

Dette problem bliver mere komplekst på grund af den globale spredning af subprocessorer, som arbejder under forskellige databeskyttelseslove afhængigt af deres placering. Selvom Microsoft sikrer, at subprocessorer overholder GDPR, skal vi huske på, at Microsoft selv fortsat overtræder GDPR, så du kunne spørge dig selv, hvad deres ord faktisk betyder. Det siger heller ikke nødvendigvis noget om databeskyttelse, da de også har haft mange hacks og brud på sikkerheden sidste år.

Det er faktisk meget vanskeligt selv at kontrollere underdatabehandlere, da moderselskaberne til disse underdatabehandlere stammer fra forskellige lande, hvilket tilføjer mere kompleksitet og potentielle sikkerhedsrisici. Selvom en underdatabehandler i sig selv kan være placeret i USA, er moderselskabet ikke altid det. Du kan selv undersøge dette, men hvis du følger sporet, ender du mere end én gang hos kinesisk statsejede virksomheder. Derudover offentliggør mange af disse underdatabehandlere ikke en liste over underdatabehandlere eller privatlivsrelaterede politikker, hvilket kræver, at du kontakter dem på den ene eller anden måde – og det tager også tid og kan vise sig at være praktisk talt umuligt.

Markedsforskydningen mod sikre, EU-baserede løsninger

Hvis det er din opgave at vurdere Microsoft i lyset af NIS2, kunne du overveje at opgive dit job og flytte til et andet land, og du ville ikke være den eneste, der føler, at dette er en skræmmende opgave. Hvad vi bemærker er, at denne erkendelse, sammen med bekymringer om privatliv og sikkerhed, har fået flere og flere virksomheder og offentlige organisationer til at skabe politikker imod deres serviceudbydere, der bruger subprocessorer til databehandling, eller i det mindste begrænse dem. Denne ændring drives af forståelsen af, at subprocessorer tilføjer lag af kompleksitet til databeskyttelse, hvilket gør det nogle gange ekstremt svært at sikre omfattende beskyttelse.

Ved at reducere eller helt undgå involvering af subprocessorer gør du dit liv meget lettere. Som den danske efterretningstjeneste sagde i sidste uges artikel, er det i øjeblikket ufatteligt, at båndene til USA forværres, men du ved aldrig, hvad der kan ske i fremtiden. Vi mener, at EU vil fortsætte med at investere i lokal infrastruktur og med det nye love og direktiver. Så det kan være en anden grund til at overveje at have dine data fuldstændigt inden for EU’s grænser.

Hvordan du forenkler din NIS2-overholdelse

Hvis du overvejer alt dette, er det det perfekte tidspunkt at tage afstand fra de udbydere, du måske bruger nu, for at spare dig selv og din virksomhed for meget unødvendigt arbejde og samtidig forbedre din sikkerhed og privatlivsstandarder.

Der er mange virksomheder i EU, der tilbyder alle slags tjenester og har mange produkter til de forskellige udfordringer, som din virksomhed måske står overfor. Du skal bare finde de virksomheder, der passer til dine forretningspolitikker.

Hvis vi sammenligner en forenklet datarejse med Microsoft, ville du gå fra situationen i billedet nedenfor, med dusinvis af subprocessorer i forskellige lande og den mulige salg af dine data…

illustration af dataflow gennem subprocessorer


… til situationen nedenfor, med færre udbydere, færre subprocessorer og hosting i EU. I tilfælde af vBoxx ville det betyde produkter, der er hostet i Nederlandene uden subprocessorer og med personlig support.

illustration af dataflow gennem subprocessorer indenfor Nederlandene

Dine Næste Skridt

Den hollandske regering har udgivet et værktøj, der hjælper dig med hurtigt at tjekke, om du overholder NIS2 (hollandsk). Vi kan varmt anbefale dette værktøj.

Hvis du vil diskutere din use-case, hjælper vi dig gerne med at finde ud af, hvad du måske har brug for. Vi tilbyder meget af det, din virksomhed har brug for, såsom cloud-lagring, e-mail, videoopkald, password management, men også servere, webhosting og meget mere.

Vi har ingen subprocessorer, vi og vores datacenter er ISO 27001-certificerede og fuldt EU-ejede, så der er ingen ikke-EU-moderfirmaer involveret. Send os bare en e-mail, ring til os eller start en chat, og du vil blive hjulpet med det samme.

-
Related Posts
vBoxxTransfer
Særligt tilbud til nye kunder

Prøv vBoxxTransfer:

Nyd 1TB sikker lagring og ubesværet filoverførsel, alt sammen drevet af vBoxxCloud-teknologi.

mere information