Siden den 1. juli, hvor “Lov om foranstaltninger til sikring af et højt cybersikkerhedsniveau”, også kendt som NIS2-direktivet, trådte i kraft, har virksomheder indenfor pharma- og life science-sektoren skulle efterleve kravene. Baggrunden for loven er det øgede trusselsbillede mod Europa, og hvor cyberangreb og spionage, som følge af de seneste års geopolitiske udviklinger, samt naturkatastrofer, udgør væsentlige risici for borgere og virksomheder.
Loven pålægger virksomheder, der arbejder med kritisk infrastruktur, herunder life science-sektoren, at styrke deres informationssikkerhed. Det kan gøres gennem business continuity mangement (BCM), hvor virksomhederne planlægger og forbereder deres respons på kritiske hændelser og kriser, og gennem etablering af effektiv risikostyring og hændelsesrapportering. Derudover skal virksomhederne løbende vurdere deres sikkerhedsforanstaltninger, ligesom medarbejderne skal trænes i it-sikkerhed.
For virksomheder i pharma- og Life Science-sektoren betyder loven, at forsyningskæden til samfundskritiske produkter, som fx lægemidler, skal sikres, og at netværk og informationssystemer skal styrkes ved at anvende sikre løsninger og teknologi. Desuden skal virksomheder dokumentere, hvordan de sikrer deres forsyningskæder, og gennemgå deres kritiske leverandører. Ledelsen skal teste beredskabsplaner, herunder hvordan der forebygges, håndteres og genoprettes ved sikkerhedshændelser og nedbrud.
Sundhedsdatastyrelsen er udpeget som sektoransvarlig NIS2-tilsynsmyndighed indenfor sundhedsområdet. De skal føre tilsyn med, om lægemiddelproducenterne overholder kravene i loven. De skal også vejlede producenterne om sikkerhedsforanstaltninger, hændelseshåndtering og registrering. Dertil har Styrelsen for Samfundssikkerhed udgivet en række NIS2-vejledninger, der fungerer som et supplement til fortolkningen af reglerne.
Forløber din virksomheds NIS2-implementering planmæssigt?
Nu, hvor der er gået et halvt år siden NIS2 trådte i kraft, er det et godt tidspunkt at gøre status over, om din virksomhed er kommet i mål med implementeringen af NIS2, eller om der er brug for justeringer.
Sådan en vurdering kan med fordel tage afsæt i de fem forskellige faser af NIS2-implementeringen:
- Påvirkningsanalyse: Har I etableret et klart overblik over, hvilke netværk, services, applikationer og forretningskritiske systemer, der påvirkes af NIS2 og hvordan?
- Gap-analyse: Har din virksomhed fået gennemført en gap-analyse af jeres NIS2-compliance i forhold til rammeværk – ISO eller NIST – og aktuelle trussellandskab for Pharma, Life Science og produktion. Hvor langt er I med politikker, compliance og governance, adgangsstyring, business continuity management, beredskabstest og krisehåndtering, ledelses- og bestyrelsestræning samt hændelsesrapportering?
- Strategi og handleplan: Har din virksomhed et overblik over jeres væsentlige udestående ift. NIS2-compliance samt en strategi for, hvordan I skal komme i mål? Og tager strategien afsæt i samfundsmæssig kritikalitet og forretningskritisk konsekvens?
- Operationel implementering: Har din virksomhed en plan for den operationelle implementering af NIS2? Det kunne være indenfor adgangsstyring, kryptering, resilience, BCM, process management, risikostyring m.m. Har I de kompetencer i huset og har I en dygtig projektleder til at drive NIS2-programmet. Har I en implementeringspartner, hvis I fx vælger, at I vil opnå ISO 27001-certificering?
- Operate: NIS2 er en god anledning til at skrotte de gamle legacy-systemer og erstatte med nye og tidssvarende og moderne it-løsninger, der beskytter forretningen, jeres kronjuveler og kritiske infrastruktur. Der findes mange tech udbydere og cloudleverandører, som benytter AI-genererede løsninger, der minimerer den manuelle sagsbehandling og automatisere sikkerhed, fx indenfor SOC, SDLC, IAM og SecOpS. Valg af leverandører og implementering af systemer kræver tech transformation med fokus på target state og en operating model plan, der sammenkøres med jeres overordnede digitale strategi.
En helhedsorienteret tilgang sikrer både compliance og forretning
NIS2-direktivet stiller med rette nye og skærpede krav til pharma- og life science-sektoren, hvor konsekvenserne af manglende cybersikkerhed kan være alvorlige, både for samfundet og forretningen. Derfor kræver en robust NIS2-implementering en helhedsorienteret tilgang, der starter med en grundig påvirkningsanalyse, afdækker compliance-gab i en gap-analyse og omsætter det til en klar strategi og handleplan. En struktureret operationel implementering og løbende drift sikrer, at virksomheden kan styrke sin modstandskraft, fastholde en sikker forsyningskæde og samtidig understøtte innovation og vækst.
En proaktiv og struktureret indsats sikrer ikke blot compliance, men gør virksomheden bedre rustet til at håndtere nutidens og fremtidens trusler. Sørg for løbende at evaluere og tilpasse jeres sikkerhedsforanstaltninger, investér i medarbejderkompetencer og udnyt digitale og automatiserede løsninger som en naturlig del af jeres transformation- og sikkerhedsstrategi.
Kontakt os
Malene Fagerberg
