Menu

NIS2 implementering med adfærdsdesign

NIS2, som står for det andet direktiv om Netværks- og Informationssystemers sikkerhed, udvider og styrker de eksisterende regler om cybersikkerhed for virksomheder i kritiske sektorer samt digitale tjenesteydere i EU.

I denne artikel får du vores bud på hvordan du kan bruge adfærdsdesign til at implementere NIS2 i din organisation.

Du kan få svar om NIS i vores NIS2 FAQ nederst på siden.

Indhold

  1. Hvorfor bruge adfærdsdesign til at implementere NIS2?
  2. Eksempel på implementering af NIS2 med adfærdsdesign
  3. Udvikle effektiv eLearning med NIS2-fokus
  4. Udviklingsprocess for compliance elearning
  5. Download guide til udvikling af NIS2 e-learning.

NIS FAQ

  1. Hvad er NIS2-direktivet?
  2. Hvem er Påvirket af NIS2?
  3. NIS2-funktioner
  4. NIS2's rækkevidde og tidsfrister

Hvorfor bruge adfærdsdesign til at implementere NIS2?

Når du bruger adfærdsdesign til implementering opdager du, at formidling af viden, ikke er målet.

Den ADFÆRD, der gør, at du er NIS2 compliant, er målet.

Kan du få adfærden uden, at nogen skal lære noget, er det klart at foretrække.

Viden fører ikke nødvendigvis til adfærd.

"Hvis mere information var svaret, ville vi alle være milliardærer med perfekte mavemuskler." ― Derek Sivers

Tabellen herunder viser forskellen på implementering vha. Læring og adfærdsdesign hvor vi bruger passwords som sikkerhed

Implementering vha. Læring

Implementering vha. adfærdsdesign

Giv medarbejderne et kursus om sikre passwords og sats på at de lærer det - og handler på det.

Brug biometri. Giv medarbejderne en passwordhusker. Lær dem at bruge det hvis der er behov.

Fortæl medarbejderne hvor vigtigt der er og hvor galt det kan gå.

Vis medarbejderne hvad de skal gøre for at være sikre.

Adfærdsdesign til læringsdesign fører til mindre, men bedre læring. Og mere adfærd. Bedre compliance.

Faktisk er det en selvstændig pointe at du IKKE skal tænke at du laver læringsdesign med adfærdsdesign.

Hvis du tænker at du SKAL løse et problem med læring er der en overhængende fare for at du faktisk ender med at forsøge at løse det med læring – også selv der måske er en bedre løsning.

Det betyder også at du skal tænke adfærdsdesign ind i din implementering FRA starten. Hvis du tænker at du hen i mod slutningen af implemnteringen skal have udviklet noget e-learning, er du for sent ude.

Adfærdsændringer frem for traditionel læring

I stedet for at overfodre med tør teori, bør vi designe til adfærdsændringer der sikrer compliance med NIS2.

  1. Identificer de specifikke, ønskede adfærdsændringer der understøtter NIS2 compliance.
  2. Analysér og forstå de friktioner/barrierer, der forhindrer disse ændringer i at finde sted. Disse friktioner kan være både fysiske og psykologiske, som for eksempel manglende motivation, opfattelsen af besvær, eller en følelse af at det er unødvendigt.
  3. Udvikl og implementer konkrete løsninger der fremmer den adfærden. Hvis en løsning kræver at medarbejdere får viden så lav noget kommunikation eller et kursus. Men gør det enkelt: Hvis en tjekliste løser opgaven, skal du ikke lave en video. Hvis du kan nøjes med et skilt, skal du ikke lave et kursus.
  4. Mål effekten af interventionerne og justér efter behov for at optimere ændringsprocessen. Mindre fokus på læring, mere på handling sikrer, at viden fører til ægte adfærdsmæssig forandring.Adfærdsdesign betyder, at vi tilpasser vores metoder til målet om ægte NIS2-compliance – ikke blot videnstilegnelse.

Adfærdsdesign lyder måske kompliceret og svært, men det kan være så simpelt som en velskrevet email der kommer på det rette tidspunkt.

Adfærdsdesign til at fjerne stopklodser

Adfærdsdesign skaber rammerne for handling, snarere end blot lagring af viden. Det er her, vi transformer hverdagsrutiner til sikkerhedsbevidste vaner.

Rigtig implementering kræver indsigt i specifikke adfærdsbarrierer.

Med adfærdsmæssige interventioner konstruerer vi stier fri for hindringer, der faciliterer målrettet adfærd, og dermed fremmer reelt NIS2-compliance.

Det handler om at benytte adfærdsdesign strategisk til at udforme kommunikation og processer, så de virker intuitive og enkle.

Der findes mange principper du kan bruge til at udvikle adfærddesign. Du får lige de to væsentligste.

Princip #1: Gør det let

  • Fjern friktion for at skabe ønsket adfærd.
  • Gør den uønskede adfærd sværere eller umulig.

Princip #2: Find det rette øjeblik

  • Indtænk timing fra starten af projektet.
  • Kom så tæt på gerningsøjeblikket som muligt.

Husk, at "hvornår" er et vigtigt aspekt at overveje, og det bør ikke undervurderes.

Tænk på, hvornår det bedste tidspunkt ville være at påvirke adfærden - både på daglig, månedlig og årlig basis.

Reglen er at komme så tæt på gerningsøjeblikket som muligt.

Eksempel på implementering af NIS2 med adfærdsdesign

NIS2 handler om IT- og OT-sikkerhed, hvor OT refererer til operationel teknologi, f.eks. maskiner i produktionsprocesser på fabrikker. En vigtig konsekvens af NIS2 er, at mange maskiner muligvis skal udskiftes eller opgraderes for at øge sikkerheden.

I en større koncern med mange fabrikker diskuterede vi, hvordan vi kunne motivere hver fabriksdirektør til at implementere nødvendige sikkerhedsopgraderinger.

Traditionelt forsøger man at overbevise fabriksdirektører om at allokere budgetter til ændringer i deres OT for at overholde NIS2. Dette møder ofte modstand, da det kan påvirke deres bundlinje negativt.

En alternativ metode kunne være at oprette en pulje af midler, som fabriksdirektørerne kan ansøge om for at finansiere opgraderinger og blive NIS2-compliant.

Ved at informere dem om denne mulighed motiveres de til at foretage de nødvendige ændringer, da det ikke belaster deres økonomi direkte. Denne tilgang skaber motivation frem for modstand og øger sandsynligheden for implementering af nødvendige sikkerhedsopgraderinger.

Udvikle effektiv eLearning med NIS2-fokus

At udvikle eLearning med et NIS2-fokus involverer skabelsen af læringsmaterialer, som ikke bare oplyser, men aktivt formår at transformere viden til praksis.

Det begynder med en forståelse af de specifikke handlinger, der fortolker NIS2-direktivets principper til virkeligheden i en hvilken som helst virksomhed.

Læringserfaringerne skal være designet til at fjerne mentale barrierer og motivere til handling gennem relevante scenarier, praktiske værktøjer og direkte koblinger til den enkeltes arbejdsområder.

Ved at integrere adfærdsdesign bliver eLearning ikke et endemål i sig selv, men en dynamisk facilitator, der bibringer den nødvendige indsigt og understøtter de adfærdsændringer, som sikrer autentisk NIS2-compliance.

En guide til at designe elearning med fokus på adfærd

Når vi støder på NIS2-direktivet, begynder en vigtig rejse fra abstrakte forordninger til konkret adfærd. Det er ikke nok at kende reglerne; vi skal inkorporere dem i vores daglige virke, så vi handler i overensstemmelse.

Forståelsen af NIS2-direktivet er nøglen til efterlevelse. Men forståelse alene skaber ikke ændring. Derfor er adfærdsdesign ikke blot et nyttigt værktøj – det er kritisk.

Det er afgørende at designe eLearning, som formår at adressere og fjerne de barrierer, der hindrer medarbejderne i at omsætte direktivets intentioner til praksis.

Her møder vi adfærdsdesignet, som handler om at mærke, lytte og tilpasse læringsindhold, så det fremmer handling frem for blot at fylde hovedet med information.

For at overkomme disse friktioner, udvikles løsninger, der kan fjerne eller mindske dem. Det kan indebære flere tilgange, og hvis en løsning kræver viden, udformes læringsmål for at udstyre folk med den nødvendige information. Det er vigtigt at formidle denne viden på en engagerende måde.

Engagement skabes ikke gennem skræmmekampagner eller ved blot at fortælle folk, hvor vigtigt noget er. Det er mere effektivt at formulere budskaber, så modtagerne føler en naturlig motivation for at lære og handle.

Designprocessen bør inkludere mulighed for refleksion, især hvis der er et læringsaspekt. En metode kan være at præsentere realistiske dilemmaer, hvor modtagerne skal tage stilling til specifikke situationer.

Kvaliteten af disse situationer, og de valgmuligheder der tilbydes, skal være høje for at sikre ægte læring fremfor kun mekanisk engagement.

Udviklingsprocess for compliance elearning

I nedenstående tabel sammenligner vi den traditionelle udviklingsproces for compliance elearning med en proces, der anvender adfærdsdesign.

Lad os se nærmere på forskellene mellem de to processer.

Traditionel process

Process med adfærdsdesign

1. Læs NIS2 direktivet

2. “Oversæt” forordningen til læringsmål:,

“Hvem skal vide hvad.”

3. Lav e-learning til læringsmålene

4. Og så en test til sidst.

1. Læs NIS2 direktivet

2. “Oversæt” forordningen til adfærd:

“Hvem skal gøre hvad.”

3. Tal med målgruppen og find friktioner for adfærden.

4. Find på løsninger der fjerner friktionerne.

5. Lav læringsmål hvis en løsning kræver viden.

6. Udvikl læringsmaterialer der understøtter læringsmålene.

Vælg det rette format for dit eLæringsindhold

Når vi altså snakker format, så tænk praktisk.

Husk på, at komplekse problemer ikke altid kræver komplekse løsninger. Nogle gange kan en smart tjekliste eller en interaktiv Q&A session være langt mere effektiv end en traditionel kursusmodul.

Det handler om at eliminere unødvendig viden og zoome ind på det, der virkelig driver den ønskede adfærd. Praktiske værktøjer, som simplificerer kompleksitet og gør efterlevelse til noget næsten instinktivt, er guld værd.

Valget af format til at formidle budskaber afhænger af indholdets natur.

For værdibaserede budskaber kan videoer med relevante scenarier være effektive, mens mere teknisk eller mekanisk information kan formidles gennem animerede explainer-videoer. Det er afgørende, at valget af værktøj baseres på en klar forståelse af det problem, der skal løses.

Timing er afgørende i formidlingen af adfærdsændringer.

Et nudge, der gives lige når medarbejderen har brug for en påmindelse, kan gøre en verden til forskel. I stedet for lange kursusforløb, bør du tænke i mikrolæring og just-in-time informationer.

Adfærdsændring bliver holdbar, når den sker, når behovet opstår, og ikke et øjeblik for sent.

Download guide til udvikling af NIS2 e-learning.

Vi har samlet de væsentligste pointer ift udvikling af elearning i en kort guide om udvikling af elearning til NIS2 med afsæt i adfærddesign. Download (PDF).

Skal vi hjælpe dig?

Vi kan hjælpe med at implementere polikker. Vi udvikler løsninger, digitale og analoge, med adfærddesign. Vi udvikler læringsmateriale, video, animerede explainervideoer, mikrolæring og e-learning og meget andet. Vi kan levere indholde i forskellige e-learning standarder som SCORM og xAPI.

Du kan læse mere om udvikling om vores tilgang til udvikling af e-learning her.

PS. Vi ved ikke ret meget om Jura, IT og OT sikkerhed, eller en sikkerhedsstandard som iso/iec 27001, iso/iec 27002, iso/iec 27005 og hvad de nu eller hedder. Til den opgave kan du tage fat i din sædvanlige ITsikkerhedsleverandør, eller tag fat i en virksomhed som https://www.truesec.com/ hvis du ikke har en leverandør. De kan hjælpe dig med at lave en grunding risikovurdering. Hils fra os.

NIS2 FAQ

Her kan du læse svar på flere spørgsmål om NIS2

  1. Hvad er NIS2-direktivet?
  2. Hvem er Påvirket af NIS2?
  3. NIS2-funktioner
  4. NIS2's rækkevidde og tidsfrister

Hvad er NIS2-direktivet?

NIS2-direktivet er EU's opdaterede regulativ for cybersikkerhed, som udvider ansvarsområderne og styrker sikkerhedsgrundlaget. Nøglen til at begribe NIS2 er at forstå, at det ikke kun handler om at indfri checklister eller efterleve bestemmelser. Det er snarere en satsning på at opbygge dybdegående sikkerhedspraksisser, der kan modstå og tilpasse sig cybertrusler, som konstant udvikler sig.

Direktivet favner en bred vifte af sektorer, fra energi til digitale tjenester, og pålægger virksomhederne en proaktiv og systematisk tilgang til risikostyring og -rapportering. Med NIS2 bliver det klart, at cybersikkerhed ikke kun er en IT-afdelings opgave, men en integreret del af hele organisationens ansvar.

Kerneelementer i NIS2

NIS2-direktivet udvider kravene til cybersikkerhed og omfatter nu også flere sektorer, som før stod uden for. Det indebærer strengere efterlevelse og rapporteringspligter.

Med en proaktiv og systematisk tilgang skal virksomhederne nu forholde sig til risikostyring og incidentrapportering som en kritisk disciplin, der rækker ud over IT-afdelingen.

NIS2 styrker EU's fælles front mod cybertrusler.

Direktivet kræver, at alle relevante aktører etablerer omfattende sikkerhedspolitikker og -processer, som kan håndtere avancerede trusler og minimere mulige nedbrud. Dette bidrager til en overordnet forbedring af den digitale sikkerhed i EU.

Hvem er Påvirket af NIS2?

NIS2-direktivet dækker essentielle selskaber i energi, transport, bank, infrastruktur, sundhed, digital infrastruktur og levering af digitale tjenester. Disse sektorer udgør rygraden i det europæiske samfund.

Også mindre virksomheder kan være underlagt NIS2, hvis de er leverandører til de omtalte sektorer. For disse gælder særlige retningslinjer.

  • Særligt for energisektoren indebærer NIS2, at elektricitets- og gasforsyningsselskaber (inklusive distributører og operatører) skærper deres cybersikkerhedsberedskab.
  • Ligeledes skal transportsektoren - lige fra jernbaner til luftfart - revidere og styrke deres sikkerhedsprotokoller og indberetningsprocedurer.
  • Sundhedsvæsenet, med sine talrige datafølsomme systemer, skal også iværksætte yderligere sikkerhedsforanstaltninger og hurtig reaktion på incidenter.
  • Endelig er digitale tjenesteleverandører som skyudbydere og online markedspladser forpligtet til at implementere robuste og pålidelige cybersikkerhedsstrategier.

NIS2-funktioner

NIS2-funktioner altså de specifikke handlinger eller systemtilpasninger, en organisation gør for at leve op til de skærpede krav i NIS2-direktivet. Det er vigtigt at forstå, at disse funktioner ikke kun handler om teknologi, men også om politikker, procedurer og menneskelige faktorer, som alle spiller en rolle i at styrke cybersikkerheden.

  1. Sikkerhedsaudits og risikovurderinger: Funktioner, der gør det muligt for virksomheder at evaluere og forbedre deres cybersikkerhedspraksis i overensstemmelse med NIS2-kravene.
  2. Hændelsesrapportering: Systemer eller processer designet til effektivt at rapportere cybersikkerhedshændelser, som krævet af NIS2.
  3. Sikkerhedsopdateringer og patch management: Funktioner, der sikrer, at software og systemer løbende opdateres for at beskytte mod kendte sårbarheder.
  4. Fysisk og digital adgangskontrol: Tiltag for at sikre, at kun autoriseret personale har adgang til kritiske systemer og data.
  5. Bevidstgørelse og uddannelse: Programmer, der øger bevidstheden og kompetencerne hos medarbejdere i forhold til cybersikkerhed, i tråd med direktivets krav.

NIS2's rækkevidde og tidsfrister

NIS2-direktivet udvider definitionen af hvilke sektorer, der betragtes som væsentlige for samfundets funktion, og omfatter nu også offentlig administration samt vand- og affaldssektorerne.

Hertil kommer, at direktivet i højere grad appellerer til små og mellemstore virksomheder (SMV'er), som spiller kritiske roller i de pågældende sektorens forsyningskæder. Dette inkluderer krav om at styrke deres cybersikkerhedskapaciteter og indberette sikkerhedshændelser.

Med henblik på tidsfrister står NIS2-direktivet over for implementering over en række vigtige milepæle. Selvom det er vedtaget på EU-niveau, skal det transponeres til national lovgivning af medlemsstaterne, hvilket skal være fuldført inden 18 måneder efter direktivets ikrafttrædelse.

Derudover vil virksomhederne herefter have yderligere seks måneder til at sikre overensstemmelse. Tiden er altså knap, og det er afgørende, at berørte organisationer begynder forberedelserne snarest.

Implementeringstidspunkt i Danmark

Danmarks overgang til NIS2-direktivets regelsæt indledes med direktivets transponering ind i dansk ret. Dette er en proces, der kræver, at EU's direktiv overføres til national lovgivning, hvilket Danmark skal håndtere inden for fristens rammer.

Den specifikke dato for implementering i Danmark er endnu ikke offentliggjort. Men den nationale lovgivning skal afspejle direktivets krav fuldt ud.

Vigtigheden af at føre disse EU-direktiver ud i livet kan ikke understreges nok, idet det vil sikre en mere robust infrastruktur inden for relevant kritisk og væsentlig sektor. For virksomheder og offentlige myndigheder betyder det en obligatorisk opdatering og forstærkning af cybersikkerhedspraksisser.

Når lovgivningen er på plads, får danske virksomheder og offentlige instanser seks måneder til at justere deres sikkerhedsforanstaltninger, så de stemmer overens med direktivets krav.

Det er derfor essentielt for disse aktører at have en klar plan for, hvordan direktivets elementer skal inkorporeres i organisationens strukturer og processer, med særligt fokus på IT og OT sikkerhed.

OT, eller operationel teknologi, refererer til de systemer, der overvåger og styrer fysisk udstyr, en kritisk komponent i mange kritiske infrastrukturer.

Overholdelsesfrist for virksomheder

Med NIS2's indtog står virksomheder over for kritiske justeringer i deres cybersikkerhedspraksisser.

  • Der skal etableres tidsfrister alt efter når lovgivning træder i kraft.
  • Alle relevante aktører, inklusiv kritiske infrastrukturer, skal have planer klar.
  • Sikkerhedsopdateringerne skal inkludere IT og OT løsninger.*)
  • Det er essentielt at starte forberedelserne inden fristen, for at sikre smidig transition.

De danske myndigheder angiver en periode på seks måneder til at opnå fuld compliance.

Den rigtige planlægning og adfærdsændringer er nøglen til en vellykket implementering.

*) OT står for Operational Technologies og er brugen af hardware og software til at overvåge og kontrollere fysiske processer, enheder og infrastruktur i et industrielt miljø.

Hvor kan du finde mere information om NIS2?

Her du finde mere information.

Den officielle hjemmeside: https://digital-strategy.ec.europa.eu/en/policies/nis2-directive

Generelt om NIS2 direktivet - DI: https://www.danskindustri.dk/vi-radgiver-dig/virksomhedsregler-og-varktojer/nis2-vejledningsunivers/generelt-om-nis2-direktivet/

Status på NIS2 - Center for Cybersikkerhed : https://cfcs.dk/da/om-os/nis2/

Hvilke virksomheder er underlagt NIS2?

NIS2, eller Net- og Informationssikkerhedsdirektivet, gælder for en bred vifte af virksomheder og organisationer. Direktivet har til formål at beskytte net- og informationssystemer mod cybertrusler og sikre et højt sikkerhedsniveau i hele EU.

De virksomheder, der er omfattet af NIS2, kan opdeles i tre hovedkategorier:

  1. Operatører af essentielle tjenester (OES): Dette omfatter virksomheder, der leverer vitale tjenester inden for sektorer som energi, transport, bank og finans, sundhedsvæsen, vandforsyning og digital infrastruktur. Disse virksomheder er afgørende for samfundets funktion og har stor indflydelse på borgernes daglige liv.
  2. Digitale tjenesteudbydere (DSP'er): Dette omfatter platforme og onlinetjenester som søgemaskiner, cloudtjenester, e-handel og sociale netværk. Disse tjenester spiller en vigtig rolle i både erhvervslivet og borgernes dagligdag, og de er derfor underlagt NIS2-reglerne for at sikre deres stabilitet og sikkerhed.
  3. Leverandører af afgørende produkter og tjenester (CPS-leverandører): Dette dækker over virksomheder, der udvikler og producerer produkter og tjenester, der kan have indvirkning på sikkerheden af net- og informationssystemer. Dette kan omfatte softwareudviklere, hardwareproducenter og leverandører af integrerede systemer.Det er vigtigt at bemærke, at NIS2-reglerne også kan gælde for underleverandører og tredjepartsleverandører, der understøtter de ovennævnte virksomheder i deres drift. Derfor er det afgørende for disse virksomheder at være opmærksomme på reglerne i NIS2 og sikre, at de har passende sikkerhedsforanstaltninger på plads for at beskytte deres net- og informationssystemer.