NIS2 træder i kraft 1. juli 2025

NIS2 træder i kraft om få uger – her er de 3 mest kritiske Azure-konfigurationer, du skal tjekke NU!

NIS2 er EU’s nye direktiv for cybersikkerhed, som stiller skærpede krav til virksomheder inden for kritiske sektorer og vigtige enheder. Fra 1. juli 2025 skal disse organisationer kunne dokumentere og bevise deres sikkerhedsforanstaltninger.

Med kun 2 uger til NIS2’s ikrafttræden ser vi mange virksomheder, der stadig mangler de grundlæggende Azure-sikkerhedsindstillinger. Her er, hvor du skal starte:

1. Conditional Access policies 
De fleste har MFA aktiveret, men mangler de rigtige policies. Tjek om jeres Conditional Access blokerer adgang fra usikre steder og enheder. En simpel “MFA til alle” er ikke nok længere.

2. Azure Security Center recommendations 
Har I over 50 anbefalinger, der aldrig er blevet adresseret? NIS2 kræver dokumentation for, hvordan I håndterer sikkerhedsrisici. Start med de høje og kritiske.

3. Log Analytics retention 
NIS2 kræver, at I kan spore sikkerhedshændelser tilbage i tid. Standard 30-dages retention i Azure Monitor er ikke tilstrækkeligt. I skal op på minimum 90 dage – og kunne bevise det.

Bonus: Test jeres incident response.
Hvornår testede I sidst jeres backup-restore? Hvornår kørte I sidst en sikkerhedshændelse igennem fra start til slut? Hvis svaret er “det kan jeg ikke huske”, så ved I, hvor I skal starte.

Center for Cybersikkerheds vejledninger finder du på https://bit.ly/4kBpUH1.
Vejledningerne er gode, men de siger ikke præcis, hvilke knapper I skal trykke på i Azure.

Det er her, forskellen mellem at have en plan og kunne udføre den viser sig.

Med kun 2 uger tilbage handler det ikke længere om perfekte løsninger – det handler om at have dokumenteret, at I har styr på det basale.