Hvis du er en statslig myndighed, er der nye krav, du skal leve op til indenfor IT-sikkerhed -senest ved årskiftet.
Gælder kravene også private virksomheder?
Nej, men kravene virker fornuftige, og private virksomheder bør også forholde sig til dem.
Hvad kan jeg som privat virksomhed bruge kravene til?
De 20 tekniske minimumskrav er baseret på “best practice”, og flere af kravene følger eksisterende vejledninger og anbefalinger fra Center for Cybersikkerhed, Digitaliseringsstyrelsen og Datatilsynet.
Giver alle kravene mening?
Nogle enkelte af kravene, mener jeg ikke giver mening. Det gælder f.eks. kravet om “Always on VPN”, som betyder, at trafikken skal retur via VPN til virksomheden, og derfra så igen ud på internettet gennem virksomhedens sikkerhedsystemer. Løsningen er forsøgt af mange, men har også resulteret i rigtig dårlige brugeroplevelser. Det kræver netværks performance på mange niveauer. Men som altid skal det jo baseres på en vurdering af risiko.
Min holdning:
Kig på kravene. Den PDF jeg linker til, har en “formåls beskrivelse”. Så der kan også være læring og inspiration til optimering af IT-sikkerheden. Har du f.eks. styr på DMARC REJECT policy implementeret på alle domæner, og hvorfor det er vigtigt for din mail?
Links til oversigten:
Du kan se de 20 minimumskrav med vejledninger i denne PDF