Informationssikkerhedspolitik — ISO 27001-ramme og NIS2-overholdelse

Informationssikkerhedspolitikken i Danmark er et overordnet styrings- og compliancedokument, der fastlægger en virksomheds principper, mål og ansvar for beskyttelse af informationsaktiver — herunder data, systemer, netværk, software og mennesker. Dokumentet er fundamentet for virksomhedens informationssikkerhedsstyringssystem (ISMS) og er det centrale redskab til at opfylde kravene i NIS2-direktivet, GDPR og ISO/IEC 27001.

NIS2-direktivet (Europa-Parlamentets og Rådets direktiv 2022/2555 af 14. december 2022 om foranstaltninger til sikring af et højt fælles cybersikkerhedsniveau i hele Unionen) er det primære lovgrundlag for informationssikkerhed i sektorer som energi, finans, transport, sundhed, digital infrastruktur og offentlig administration. NIS2 er en skærpelse og udvidelse af det tidligere NIS-direktiv (2016/1148) og stiller markant strengere krav til risikostyring, hændelsesrapportering og forsyningskædesikkerhed. I Danmark er NIS2 gennemført i lov om net- og informationssikkerhed (NIS-loven) med tilhørende bekendtgørelser, og Center for Cybersikkerhed (CFCS) er den kompetente nationale myndighed.

Databeskyttelsesforordningen (GDPR, forordning 2016/679) og databeskyttelsesloven (lov nr. 502 af 23/05/2018) er tæt forbundet med informationssikkerhedspolitikken. GDPR art. 32 pålægger dataansvarlige og databehandlere at implementere passende tekniske og organisatoriske sikkerhedsforanstaltninger for at beskytte personoplysninger mod uautoriseret adgang, tab, ændring og ødelæggelse. Datatilsynet fører tilsyn og kan pålægge bøder op til 20 mio. euro eller 4 % af global omsætning ved mangelfuld sikkerhed.

ISO/IEC 27001:2022 er den internationale standard for informationssikkerhedsstyring og angiver bedste praksis for ISMS. Certificering i henhold til ISO 27001 er ikke lovpligtig, men er et stærkt signal til kunder, samarbejdspartnere og forsikringsselskaber om, at virksomheden har systematisk og verificeret informationssikkerhed. Mange virksomheder og offentlige institutioner kræver ISO 27001-certificering af leverandører som led i leverandørscreening og GDPR art. 28-forpligtelserne.

Informationssikkerhedspolitikken er ikke et teknisk dokument — det er et ledelsesdokument. Den vedtages af topledelsen, kommunikeres til alle medarbejdere og revideres mindst én gang om året. Politikken understøttes af et bibliotek af procedurer og vejledninger, der konkretiserer de overordnede principper inden for specifikke risikoområder: adgangsstyring, kryptografi, fysisk sikkerhed, forsyningskædesikkerhed og hændelseshåndtering.

Informationssikkerhedspolitikken i Danmark er nødvendig i alle situationer, hvor en virksomhed behandler følsomme oplysninger, er underlagt regulering, eller ønsker at signalere troværdighed over for kunder og samarbejdspartnere.

Første situation er NIS2-underlagte virksomheder. NIS2-direktivet (2022/2555) gælder for essentielle og vigtige enheder i sektorer som energi, transport, bank, finansiel markedsinfrastruktur, sundhed, drikkevand, spildevand, digital infrastruktur, ICT-serviceledelse, offentlig administration og rumfart. Virksomheder over en vis størrelse i disse sektorer er lovpligtige til at implementere informationssikkerhedspolitikker og risikostyringsforanstaltninger, jf. NIS2 art. 21. Center for Cybersikkerhed (CFCS) er den kompetente myndighed og kan pålægge bøder.

Anden situation er GDPR-forpligtede virksomheder med personoplysningsbehandling. Enhver virksomhed, der behandler personoplysninger, er underlagt GDPR art. 32's krav om passende sikkerhedsforanstaltninger. En informationssikkerhedspolitik er dokumentation for, at disse foranstaltninger er planlagt og implementeret. Datatilsynet efterspørger typisk denne dokumentation ved tilsynsbesøg.

Tredje situation er ISO 27001-certificerede virksomheder eller virksomheder under certificering. ISO 27001 kræver en dokumenteret informationssikkerhedspolitik vedtaget af topledelsen (ISO 27001 krav 5.2). Certificeringsauditor forventer en politikdokument ved enhver audit.

Fjerde situation er virksomheder, der leverer IT-tjenester og cloud-løsninger. SaaS-udbydere, cloud-tjenesteudbydere og IT-servicevirksomheder stiller kunder og samarbejdspartnere krav om informationssikkerhedsdokumentation som led i leverandørvurdering. En offentliggjort informationssikkerhedspolitik er et salgsargument og et konkurrenceparameter.

Femte situation er virksomheder, der søger cyberforsikring. Forsikringsselskaber kræver i stigende grad dokumentation for informationssikkerhedsstyring — herunder politikker, procedurer og tekniske kontroller — som betingelse for at udstede cyberansvarsforsikring og som grundlag for præmieberegning.

Sjette situation er virksomheder efter en sikkerhedshændelse. Virksomheder, der har oplevet et databrud, ransomware-angreb eller anden sikkerhedshændelse, etablerer typisk en formaliseret informationssikkerhedspolitik som del af det efterfølgende genopretningsarbejde og for at dokumentere over for Datatilsynet og eventuelle kunder, at der er taget hånd om problemet.

Syvende situation er virksomheder, der onboarder nye medarbejdere. Informationssikkerhedspolitikken bor prasenteres ved onboarding og bekræftes skriftligt af den nye medarbejder. En signeringsprocedure dokumenterer, at medarbejderen er informeret om politikken og er en juridisk forudsætning for at håndhave politikken disciplinært ved overtrædelse. Personalehåndbogen bor referere til informationssikkerhedspolitikken og uddybe de konkrete adfærdsregler.

En effektiv informationssikkerhedspolitik til Danmark skal indeholde en række centrale elementer, der er specificeret i NIS2-direktivet, ISO/IEC 27001 og GDPR.

Formål, omfang og ledelsestilsagn er udgangspunktet. Politikken fastlægger formålet med informationssikkerhed, omfanget (hvilke systemer, data og forretningsprocesser er dækket), og topledelsens tilsagn om at støtte og ressourcetildele informationssikkerheden. ISO 27001 krav 5.1 og 5.2 stiller specifikke krav til ledelsestilsagn.

Definitioner og klassificering er nødvendige. Politikken bør definere centrale begreber — informationsaktiv, sikkerhedshændelse, brud på persondatasikkerheden, risiko — og beskrive virksomhedens klassificeringsmodel for data: offentlig, intern, fortrolig, strengt fortrolig. Klassificeringen styrer, hvilke sikkerhedsforanstaltninger der er nødvendige for de forskellige datatyper.

CIA-triaden er fundamentet. Fortrolighed (Confidentiality), Integritet (Integrity) og Tilgængelighed (Availability) er de tre grundlæggende sikkerhedsprincipper. Politikken konkretiserer, hvad disse principper indebærer for virksomheden.

Risikovurdering og -behandling er et NIS2 og ISO 27001-krav. Politikken beskriver den risikobaserede tilgang: identifikation af trusler og sårbarheder, vurdering af sandsynlighed og konsekvens, prioritering af risici og valg af behandlingsforanstaltninger (accept, mitigering, transfer, undgåelse). NIS2 art. 21 specificerer minimumsrisiciene, der skal adresseres.

Adgangsstyring og autentifikation er et centralt kontrolelement. Mindste-privilegiums-princippet, multifaktorautentifikation, brugeradministration og periodisk revisionsaudit af adgang er centrale kontroller, der skal beskrives i politikken.

Hændelseshåndtering og rapportering er et NIS2-krav. Politikken beskriver hændelseshåndteringsprocedurerne og rapporteringsforpligtelserne: 72-timers anmeldelse til Datatilsynet (GDPR art. 33), 24-timers notifikation til CFCS (NIS2 art. 23), og kommunikation til berørte registrerede (GDPR art. 34). Databrud-beredskabsplanen er det konkrete operationelle dokument.

Forsyningskædesikkerhed er et NIS2 art. 21-krav. Politikken beskriver, hvordan virksomheden vurderer og styrer sikkerhedsrisici i forsyningskæden: leverandørvurdering, kontraktmæssige sikkerhedskrav (GDPR art. 28-databehandleraftaler) og løbende overvågning. forms-legal.com tilbyder en gratis informationssikkerhedspolitik-skabelon tilpasset dansk lovgivning.

Medarbejderansvar og uddannelse er nødvendige. Politikken fastlægger medarbejdernes pligter og ret til information om informationssikkerhed. Obligatorisk informationssikkerhedstræning — herunder phishing-awareness og sikker brug af AI-systemer — er best practice og et ISO 27001-krav.

Korrekt udfyldelse af informationssikkerhedspolitikken kræver en systematisk tilgang, der involverer ledelse, IT, GDPR-ansvarlig og eventuelt juridisk rådgivning.

Trin 1 — kortlæg informationsaktiverne: Identificér de vigtigste informationsaktiver — databaser med personoplysninger, forretningskritiske systemer, intellektuel ejendom, finansielle data og cloud-tjenester. Kortlægningen er grundlaget for risikovurderingen og prioriteringen af sikkerhedsforanstaltninger.

Trin 2 — vurder om virksomheden er NIS2-underlagt: Gennemgå NIS2-direktivets sektorkategorier og størrelseskriterier. Essentielle enheder er typisk store virksomheder i kritiske sektorer; vigtige enheder er mellemstore virksomheder i de samme sektorer. Center for Cybersikkerhed (CFCS) har udgivet vejledning om NIS2-vurdering på cfcs.dk.

Trin 3 — udpeg informationssikkerhedsansvarlig: Udpeg en CISO (Chief Information Security Officer) eller tilsvarende funktion med ansvar for politikkens overholdelse og løbende risikovurdering. Informationssikkerhedsansvarlig bør have mandat fra topledelsen og ressourcer til at implementere politikken.

Trin 4 — beskriv risikovurderingsprocessen: Fastlæg metoden til risikovurdering — typisk sandsynlighed × konsekvens og en risikoappetit-erklæring fra ledelsen. Angiv frekvensen for risikovurderingen (mindst én gang om året). ISO/IEC 27005 og CFCS vejledning om risikostyring er gode referencer.

Trin 5 — fastlæg adgangsstyrings- og autentifikationskrav: Beskriv konkret: hvem der tildeler og fjerner adgang, krav til adgangskodekompleksitet, krav om multifaktorautentifikation (MFA) for kritiske systemer, og procedurer for privilegeret adgang.

Trin 6 — fastlæg hændelseshåndteringsprocedurer: Beskriv rapporteringsvejene for sikkerhedshændelser — hvem kontaktes, hvornår, og hvilke myndighedsnotifikationsfrister gælder. Databrud-beredskabsplanen uddyber disse procedurer operationelt.

Trin 7 — vedtag og kommunikér: Topledelsen vedtager politikken formelt. Alle medarbejdere informeres om politikken, modtager relevant uddannelse, og bekræfter at have læst og forstået den. Politikken offentliggøres på intranettet.

Trin 8 — revidér mindst én gang om året: NIS2 og ISO 27001 kræver løbende revision og forbedring. Planlagt en annual review med ledelsen og opdatér politikken ved ændringer i trusselsbilledet, lovgivningen eller virksomhedens processer.

Informationssikkerhedspolitikken i Danmark er underlagt en kombination af EU-retlige og nationale regler, der til sammen danner det juridiske grundlag for cybersikkerhed og databeskyttelse.

NIS2-direktivet (direktiv 2022/2555): NIS2 art. 21 specificerer de minimumsforanstaltninger, essentielle og vigtige enheder skal implementere: (a) risikovurderingspolitikker for informationssystemer, (b) hændelseshåndtering, (c) driftskontinuitet og krisestyring, (d) forsyningskædesikkerhed, (e) erhvervelse, udvikling og vedligeholdelse af systemer med fokus på cybersikkerhed, (f) politikker og procedurer for brug af kryptografi, (g) personalesikkerhed og adgangsstyring, (h) multifaktorautentifikation. Bøder for overtrædelse: op til 10 mio. euro eller 2 % af global omsætning for vigtige enheder; op til 20 mio. euro eller 4 % for essentielle enheder (NIS2 art. 34-36). Center for Cybersikkerhed (CFCS) er den nationale myndighed for cybersikkerhed i Danmark.

GDPR art. 32: Passende tekniske og organisatoriske foranstaltninger til sikring af et sikkerhedsniveau svarende til risikoen — herunder pseudonymisering og kryptering af personoplysninger, evne til at sikre fortrolighed, integritet, tilgængelighed og robusthed, evne til at genoprette adgangen efter en hændelse, og regelmæssig test og evaluering. Databeskyttelsesloven (lov nr. 502 af 23/05/2018) § 3-4 supplerer med nationale bestemmelser. Datatilsynet fører tilsyn og kan sanktionere med bøder op til 10 mio. euro eller 2 % af global omsætning (GDPR art. 83, stk. 4) for overtrædelse af sikkerhedskravet.

ISO/IEC 27001:2022: International standard for ISMS. Krav 5.2 (informationssikkerhedspolitik) specificerer, at politikken skal: (a) passe til virksomhedens formål og kontekst, (b) indeholde mål eller ramme for informationssikkerhedsmål, (c) inkludere tilsagn om at opfylde gældende krav, og (d) inkludere tilsagn om løbende forbedring (Plan-Do-Check-Act). Anneks A i ISO 27001:2022 indeholder 93 kontroller fordelt på fire kategorier: organisatoriske, menneskelige, fysiske og teknologiske kontroller. Anneks A.5.1 specificerer kravene til informationssikkerhedspolitikken.

GDPR art. 5 (principper for behandling): Integritet og fortrolighed er et af de seks grundlæggende behandlingsprincipper. Databegrænsningsprincippet (art. 5, stk. 1, litra e) kræver, at personoplysninger opbevares i en form, der giver mulighed for identificering af de registrerede i ikke længere tid end nødvendigt. Sikkerhedsforanstaltningerne skal understøtte dette princip.

Funktionærloven (LBK nr. 1002 af 24/08/2017): Konsekvenser for medarbejdere, der overtræder informationssikkerhedspolitikken, reguleres af funktionærloven og den individuelle ansættelseskontrakt. Grov eller gentagen overtrædelse kan efter omstændighederne berettige til bortvisning. Straffeloven (LBK nr. 1360 af 05/09/2022) § 263 og §§ 279 ff. kriminaliserer uautoriseret adgang til datasystemer og bedrageri begået via computere.

Nordisk og europæisk cybersikkerhedssamarbejde: CFCS samarbejder med ENISA (den europæiske agentur for net- og informationssikkerhed), NordCERT og det øvrige europæiske CSIRT-netværk om trusselsvurderinger og hændelseshåndtering. Virksomheder, der er udsat for statsligt sponsorerede cybertrusler, kan kontakte CFCS for rådgivning og bistand.

Hyppige fejl i informationssikkerhedspolitikker og -implementeringer i Danmark resulterer i manglende lovopfyldelse, sikkerhedsbrud og bøder fra Datatilsynet og CFCS.

Fejl 1 — politikken er et dokument, ikke en levende praksis: Den hyppigste fejl er en informationssikkerhedspolitik, der er vedtaget, men aldrig kommunikeret, trænet eller håndhævet. En politik, som medarbejderne ikke kender til, har ingen sikkerhedsværdi. Det korrekte er at kombinere politikken med obligatorisk træning, regelmæssige awareness-kampagner (f.eks. phishing-simulationer) og tekniske kontroller, der håndhæver politikkens regler automatisk — adgangskontrol, MFA, automatisk låsning efter inaktivitet.

Fejl 2 — manglende risikovurdering: Mange politikker fastlægger sikkerhedsforanstaltninger uden en forudgående risikovurdering. Resultatet er enten over-regulering (ressourcespild på lavrisiko-systemer) eller under-regulering (ubehandlede kritiske risici). NIS2 art. 21 og ISO 27001:2022 kræver en dokumenteret, risikobaseret tilgang med risikoappetiterklæring fra topledelsen.

Fejl 3 — forældet politikdokument: Informationssikkerhedslandskabet ændrer sig hurtigere end noget andet risikodomæne. En politik, der ikke er revideret i to år, er sandsynligvis forældet. Nye trusler (ransomware, AI-assisterede angreb, supply chain-angreb), ny lovgivning (NIS2, AI Act, opdateret ISO 27001:2022) og ændringer i virksomhedens teknologi kræver løbende politikopdateringer — ISO 27001 krav 9.3 kræver en annual management review.

Fejl 4 — manglende hændelseshåndteringsprocedurer: Mange virksomheder har ingen konkrete procedurer for håndtering af sikkerhedshændelser. Under en aktiv ransomware-hændelse er ad-hoc-beslutninger farlige og tidskrævende. Databrud-beredskabsplanen er det operationelle supplement til informationssikkerhedspolitikken og indeholder den praktiske 72-timers-procedure for GDPR art. 33-anmeldelse til Datatilsynet.

Fejl 5 — ingen MFA på kritiske systemer: Multifaktorautentifikation er en af de mest effektive kontroller mod uautoriseret adgang og er eksplicit krævet af NIS2 art. 21, stk. 2, litra j. Statistisk skyldes over 80 % af databrud kompromitterede adgangskoder (Verizon DBIR) — MFA eliminerer denne angrebsvektor næsten fuldstændigt.

Fejl 6 — manglende forsyningskædesikkerhed: NIS2 art. 21, stk. 2, litra d, kræver aktiv styring af forsyningskædesikkerhed. Mange virksomheder kontrollerer ikke leverandørers og IT-udbyders sikkerhedsniveau systematisk. Et databrud hos en cloud-leverandør eller en software-udbyder kan medføre GDPR-ansvar for den dataansvarlige virksomhed, jf. GDPR art. 28. Solorigate/SolarWinds og MOVEit-angrebene illustrerer risikoen.

Fejl 7 — begrænset ISO 27001-implementering (papir-ISMS): Virksomheder under ISO 27001-certificering skaber ofte et »papir-ISMS« — dokumenterne er på plads, men de reelle processer mangler. Certificeringsauditor og Datatilsynet kan begge konstatere, om sikkerhedsforanstaltningerne er reelle eller formelle. Effektivitetsmåling (ISO 27001 krav 9.1) og intern revision (krav 9.2) er designet til at afsløre dette gap.

Fejl 8 - manglende fysisk sikkerhed: Mange informationssikkerhedspolitikker fokuserer udelukkende på digital sikkerhed og glemmer fysisk adgangskontrol til serverrum, printere, whiteboards og bortskaffelse af fysiske dokumenter med personoplysninger. ISO 27001 Anneks A, kategori A.7, og NIS2 adresserer begge fysiske sikkerhedsforanstaltninger som en integreret del af ISMS.