NIS2-loven er trådt i kraft, og for de over 6.000 omfattede danske virksomheder er cybersikkerhed nu et lovkrav på ledelsesplan. Hos Stratu fungerer vi ikke som et traditionelt advokathus, men som jeres tekniske sparringspartner. Vi hjælper jer med at navigere i Artikel 21 ved at identificere, hvilke dele af sikkerhedsansvaret I med fordel kan overdrage til os som leverandør. Med vores specifikke NIS2-kontrakttillæg får I fuld gennemsigtighed over forpligtelserne mellem kunde og leverandør, så I altid er klar til at dokumentere jeres rettidige omhu over for tilsynet.
Få fuldstændig klarhed over ansvaret. Vi har udviklet et specifikt tillæg til vores kontrakter, der præcist definerer forpligtelserne mellem jer og Stratu i forhold til NIS2-kravene.
Vi rådgiver om opbygning af processer og systemdesign, der understøtter lovens krav til driftskontinuitet – herunder design af uafhængige backup- og disaster recovery-systemer.
Overhold kravene til hurtig hændelseshåndtering. Vores ITSOC-leverance sikrer jer lynhurtig respons og dokumenteret root cause-analyse, som loven foreskriver ved kritiske hændelser.
Tidligere var NIS2 en opgave for juristerne. I dag er udfordringen flyttet ind i it-afdelingen og bestyrelseslokalet, hvor der kræves bevis for, at de tekniske kontroller faktisk virker døgnet rundt.
De kritiske spørgsmål mange CISO’er kæmper med i dag:
Hvad er mit ansvar? Uden en klar grænseflade mellem virksomheden og dens it-partnere risikerer man at stå med et uafklaret juridisk ansvar ved et nedbrud.
Er mit systemdesign robust nok? NIS2 kræver mere end blot “en backup”. Det kræver dokumenteret evne til at genetablere drift (Disaster Recovery) efter komplekse angreb.
Kan vi rapportere inden for 24 timer? Myndighederne kræver lynhurtig underretning og efterfølgende analyse af root cause. Har I værktøjerne til at finde og formidle årsagen sikkert?
Vores rådgivning tager afsæt i Stratus kerneforretning: At drive og sikre jeres it-infrastruktur. Vi hjælper jer med at omsætte de juridiske krav i Artikel 21 til konkrete tekniske løsninger.
Vores tilgang til jeres NIS2-efterlevelse:
Operationel ansvarsstyring: Vi hjælper jer med at kortlægge, hvilke sikkerhedsforanstaltninger Stratu kan varetage for jer. Gennem vores NIS2-kontrakttillæg får I det bevis for leverandørstyring, som revisor efterspørger.
Design af Driftskontinuitet: Vi designer og implementerer arkitekturen for jeres backup- og DR-systemer. Vi sikrer, at disse er logisk adskilt fra jeres produktion, så de fungerer som en reel redningsplanke ved ransomware.
Dokumenteret Hændelseshåndtering: Gennem vores ITSOC-leverance (Arctic Wolf) leverer vi de logdata og den ekspertise, der skal til for at indfri kravene om hurtig respons og formidling af root cause-analyser direkte til myndighederne.
NIS2 lægger stor vægt på virksomhedens evne til at fortsætte driften under og efter et angreb. Her er Stratus rådgivning centreret omkring to hovedområder:
Uafhængigt Backupsystem: Vi hjælper jer med at designe processer, hvor jeres data er sikret med immutability (uforanderlighed), så de ikke kan slettes af angribere.
Disaster Recovery (DRaaS): Vi bygger systemer, hvor genetableringstiden (RTO) og datatabet (RPO) er dokumenteret og testet. Det er ikke længere nok at have en plan – I skal have et systemdesign, der beviseligt virker i praksis.
Root Cause Analyse: Ved hjælp af vores overvågning kan vi hurtigt identificere, hvordan en trussel kom ind, hvilket er afgørende for den lovpligtige rapportering til Center for Cybersikkerhed (CFCS).
NIS2-direktivet (Artikel 21) opstiller en række minimumskrav, som alle omfattede virksomheder skal efterleve. For mange kan det være svært at gennemskue, hvad det præcist kræver af IT-afdelingen.
Vi gør det simpelt. Vi mapper lovens juridiske krav direkte til konkrete tekniske løsninger, så I ved, at I er dækket ind.
| NIS2 Lovkrav (Artikel 21) | Vores Løsning |
| Driftskontinuitet & Krisestyring | Vi sikrer, at I har en testet Disaster Recovery plan, så forretningen kan køre videre efter et nedbrud. Vi dokumenterer RTO (oppetid) og RPO (datatab). |
| Hændelseshåndtering | Loven kræver hurtig reaktion. Med vores SOC-service har I 24/7 overvågning, der opdager trusler i realtid, så I kan overholde varslingsfristerne. |
| Forsyningskædesikkerhed | Som jeres IT-partner er vi en del af jeres forsyningskæde. Vi stiller vores egne ISO 27001-certificeringer og revisionserklæringer til rådighed for jeres compliance-regnskab. |
| Cyberhygiejne & Adgangskontrol | Vi implementerer tekniske barriere som MFA (Multi-Faktor Godkendelse) og styring af brugerrettigheder, der sikrer, at kun de rigtige personer har adgang til data. |
| Måling af effektivitet | Compliance er ikke en engangsøvelse. Vi hjælper med løbende rapportering og audits, der beviser, at sikkerheden virker i hverdagen. |
Vi er selv en vigtig brik i jeres forsyningskæde, og derfor har vi investeret massivt i at gøre vores eget hus klar, så vi kan løfte jeres compliance-niveau med os.
ISO 27001 Certificeret: Vores egne processer er auditeret, hvilket gør det muligt for jer at “arve” vores kontroller og dokumentere jeres leverandørstyring uden store manuelle audits.
Praktisk Erfaring: Vi taler ikke i teorier. Vi rådgiver ud fra det systemdesign, vi hver dag drifter for nogle af Danmarks mest kritiske virksomheder.
Dansk Forankring: Som en 100% dansk partner kender vi den lokale lovgivning og de specifikke krav, som de danske myndigheder stiller til virksomheder i vores sektor.
Fill out the contact form below, and one of our specialists will get in touch with you.
Nej. Lovgivningen er klar: Bestyrelsen og direktionen har det ultimative, personlige ansvar for virksomhedens compliance. Men I kan overdrage det operationelle ansvar for de tekniske foranstaltninger i Artikel 21 til os. Gennem vores NIS2-kontrakttillæg præciserer vi præcis, hvilke kontroller Stratu varetager (fx backup-sikkerhed, netværkssegmentering og SOC-overvågning), så I har et solidt dokumentationsgrundlag over for myndighederne.
Ved et tilsyn skal I kunne dokumentere jeres evne til at opdage og reagere på hændelser lynhurtigt. Stratu leverer en ITSOC-løsning, der er designet til at indfri NIS2-kravene om responstid og root cause-analyse. Vi leverer ikke bare en alarm; vi leverer de data og den formidling, I skal bruge for at underrette myndighederne (fx CFCS) inden for de lovpligtige tidsfrister.
Som udgangspunkt gælder loven for virksomheder i kritiske sektorer med over 50 ansatte eller 10 mio. EUR i omsætning. Myndighederne kan dog også udpege mindre virksomheder, hvis de vurderes at have en samfundskritisk funktion.
Myndighederne kan udstede påbud og bøder. For væsentlige enheder kan bøderne være betydelige, og i yderste konsekvens kan ledelsen pålægges et midlertidigt forbud mod at varetage ledelsesfunktioner.
Nej. NIS2 kræver løbende vedligeholdelse. I skal jævnligt opdatere jeres risikoanalyser, teste jeres beredskab og træne medarbejderne. Compliance er en proces, ikke et projekt.
I en klumme i Ingeniøren belyser vores adm. direktør, Jeppe Klestrup, sine tanker om IT-leverandørens rolle i efterlevelse af compliance.
I indlægget skriver han blandt andet:
“Med direktiver som NIS2 og en stigende opmærksomhed på GDPR og ESG-krav står virksomheder over for en kompleks opgave: Hvordan sikrer man, at både drift og processer lever op til de nødvendige standarder, uden at det kvæler produktiviteten?
Svaret ligger i mange tilfælde hos IT-leverandørerne. De virksomheder, der kan levere løsninger, hvor compliance er tænkt ind fra starten – fra backup og datasikkerhed til compliance og dokumentation – vil skille sig ud. Evnen til at effektivisere compliance gennem stærke processer og stordriftsfordele bliver en konkurrencefordel.”
– Citat fra Jeppe Klestrup, CEO, Stratu
