NIS2 Addon

NIS2 Addon-politikpakken samler fire stringent udviklede virksomhedspolitikker, struktureret til at maksimere organisationens overholdelse af de udviklende krav i EU’s NIS2-direktiv. Hver politik fungerer som et målrettet sikkerhedskontroldomæne og muliggør systemdækkende anvendelse af bedste praksis for risikostyring, sikkerhedstestning, sårbarhedsoplysning og sikker autentifikation på tværs af forretnings- og teknologienheder. P41 – Politik for styring af leverandørafhængighedsrisiko leverer robuste mekanismer til at identificere og afbøde systemiske risici i forsyningskæden. Den beskriver, hvordan organisationer skal vedligeholde et register over leverandørafhængigheder, gennemføre regelmæssige risikovurderinger og håndhæve grænser for koncentrationsrisiko, herunder diversificeringsstrategier og beredskabsplanlægning for kritiske leverandører. Politikken pålægger årlige gennemgange og kobler forsyningskæderisiko direkte til forretningskontinuitet og planlægning af katastrofegenopretning. Styringsrammer kræver rapportering til myndigheder og eskalering, når scenarier med højrisikoafhængighed eller tredjeparts manglende overholdelse opstår, hvilket opfylder både regulatoriske og praktiske behov for risikostyring. P40 – Politik for sikkerhedstestning og red-teaming strukturerer et omfattende teknisk valideringsprogram for netværk, applikationer og infrastruktur. Den foreskriver periodiske sårbarhedsscanninger, penetrationstest og red team-øvelser, der dækker både cyber- og fysiske domæner, hvor det er relevant. Politikken sikrer, at alle tests er korrekt afgrænset, autoriseret og registreret, og at afhjælpningsplaner for identificerede sårbarheder spores og verificeres. Testresultater fødes direkte ind i risikobehandling og løbende forbedringscyklusser og gennemgås i ledelses- og revisionsprocesser – hvilket understøtter regulatoriske krav til effektivitetsmåling og teknisk kontrolsikkerhed. P39 – Politik for koordineret sårbarhedsoplysning fastlægger en klar proces for at modtage, gennemgå, afhjælpe og offentliggøre sårbarheder. Den specificerer safe-harbor-regler for eksterne rapportører (herunder forskere, partnere og kunder), håndhæver hurtig respons via et dedikeret sårbarhedsresponsteam og styrer både intern og ekstern kommunikation for advisories. Politikken er tilpasset NIS2 og ENISA-vejledning og sikrer, at offentlige kanaler for oplysning er tilgængelige, at der er retlig beskyttelse for rapportører i god tro, og at afhjælpningsfrister og oplysningspraksis matcher internationale standarder. Metrikker og efterhændelsesgennemgange er integrerede for løbende procesforbedring. P38 – Politik for sikre kommunikationskanaler og flerfaktorautentificering (MFA) (SMV-type) er designet til at kunne implementeres af organisationer med forenklede sikkerhedsstrukturer og uden outsourcet SOC. Den pålægger flerfaktorautentificering (MFA) for alle adgangspunkter og privilegerede konti og kræver krypterede kanaler for al intern og nødkommunikation. Politikken indeholder specifikke ansvarsområder for brugere, IT-administratorer og øverste ledelse og tillader dokumenterede undtagelser med kompenserende kontroller, hvor tekniske begrænsninger findes. Løbende revision og regelmæssig træning understøtter implementering, mens styring sikrer hurtige opdateringer i tråd med regulatoriske ændringer og trusselslandskabet. Tilsammen skaber disse politikker et stærkt og forsvarligt fundament for NIS2-overholdelse, tæt kortlagt til EU’s retlige, tekniske og rapporteringsmæssige krav, og de tilbyder detaljerede operationelle playbooks for teams inden for IT, risiko, compliance, indkøb, leverandørstyring og ledelsesroller.