NIS2 er vedtaget, hvad betyder det?

Skrevet af Søren Damgaard
02.02.2023

NIS2 trådte den 16. januar 2023 i kraft. NIS2 (Network and Information Systems Directive) er et EU-direktiv, der har til formål at øge IT-sikkerheden i EU. Dette skal herefter implementeres i de 27 landes love, hvor disse skal træde i kraft senest den 17. oktober 2024. De virksomheder, som bliver omfattet, skal derfor pr. denne dato opfylde direktivet/lovgivningen.

Direktivet har stor betydning for danske virksomheder, da det indebærer en række forpligtelser, når det gælder IT-systemer og informationssikkerhed.

Hvad er NIS2?

NIS2-direktivet (Network and Information Systems Directive) er et EU-direktiv, der har som formål at styrke den offentlige og private sektors beskyttelse mod cyberangreb og øge sikkerheden for netværk og informationssystemer i EU.

Kravene i direktivet omfatter risikostyring og sikkerhedsforanstaltninger, underretningspligt, ledelsesmæssig forankring samt tilsyn, håndhævelse og sanktioner.

Virksomheder og offentlige enheder skal træffe passende og forholdsmæssige tekniske og organisatoriske foranstaltninger for at beskytte mod cybertrusler og begrænse skaderne i tilfælde af en sikkerhedshændelse. Dette omfatter politikker for risikoanalyse og informationssikkerhed, håndtering af hændelser, driftskontinuitet og krisestyring, sikkerhed i forbindelse med udvikling og vedligeholdelse af net- og informationssystemer, politikker og procedurer til vurdering af effektiviteten af sikkerhedsforanstaltninger, træning i IT-sikkerhed og sikring af interne kommunikationssystemer.

Direktivet er bindende og skal udmøntes i national lovgivning i medlemslandene, hvilket betyder, at virksomheder og offentlige enheder er forpligtet til at efterleve kravene i direktivet. NIS2-direktivet styrker beskyttelsen mod cyberangreb og harmoniserer sikkerhedsniveauet i EU for at beskytte borgernes og virksomhedernes digitale liv og økonomi.

Hvem er omfattet?

Kritiske sektorer Væsentlige sektorer
Sundhed Digitale udbydere
Energi Fremstilling af kritiske produkter (f.eks. medicin, IT m.m.)
Bank & finansering Digitale services og datacenter-services
Transport Affaldshåndtering
Vandforsyning (drikkevand og spildevand) Fødevarer
Digital infrastruktur Post og pakke-services
Forvaltning af IKT-tjenester Forskning
Offentlig forvaltning
Rummet

Det forventes at ca. 1400 danske virksomheder bliver omfattet af NIS2.

Både myndigheder og virksomheder, der er omfattet af NIS2-direktivet, skal have en tilgang til implementeringen og løbende kontrol, der er baseret på risikovurdering. Derfor er det afgørende for succes i arbejdet at have en central og gennemsigtig risikostyring. Ved at anvende gode modeller for kvantitativ risikostyring kan man sikre en ensartet tilgang til de enkelte risici, samt sammenligne og prioritere dem på tværs af organisationen. Dette vil også gøre det muligt at kommunikere entydigt med topledelsen og bestyrelsen. Konkrete tiltag, som kan hjælpe med at implementere NIS2-direktivet, inkluderer derfor:

  • Udarbejdelse af en risikopolitik og proces for håndtering af risici. Der skal være en ensartet tilgang samt en ensartet skala til risikostyring på tværs af afdelinger.
  • Etablering af en proces for registrering af hændelser, som kan kobles til eksisterende risici og systemer samt udarbejdelse af en årlig risikovurdering (kvantitativ), som giver mulighed for at have overblik over risici, foretage prioritering af tiltag og kommunikere resultaterne til alle relevante parter i organisationen.

NIS2: HVORDAN IMØDEKOMMER I KRAVENE?

Selvom det umiddelbart virker som om der er lang tid til 17. oktober 2024 er det faktisk kort tid, da der skal ske større forandringer i håndtering af cybersikkerheden i de fleste virksomheder. For at opfylde kravene til NIS2, anbefaler vi, at man kommer i gang med følgende aktiviteter:

  • Underlagt? Find ud af om organisationen eller udvalgte systemer er underlagt NIS2
  • Vedtag en ensartet model for opgørelse af risiko og risikoappetit på tværs af hele organisationen.
  • Opbyg et risikoregister (se evt. vores artikel om dette og hvordan risikoscenarier skal skrives)
  • Få opbygget hændelsesstyringen, hændelser skal kunne dekomponeres – se artikel om dette
  • Få beredskabsplaner på plads for alle systemer
  • Få afdækket jeres leverandørkæder sikre at kontrakterne lever op til NIS2 kravene
  • Få dokumenteret leverandørstyring – hele værdikæden
  • Dokumentation – få alt dokumenteret, da der kan komme tilsynsbesøg

Som førende leverandør af IT-risikovurderinger har vi stor erfaring med at hjælpe virksomheder og offentlige enheder med at overholde de nyeste reguleringer inden for IT-sikkerhed.

NIS2-direktivet er et centralt komponent i den overordnede regulering af IT-sikkerhed i EU, men er det blevet udvidet til at omfatte en bredere vifte af enheder og kræver en særlig vurdering af kritisk infrastruktur og finansielle institutioner.

Det er afgørende, at virksomheder og offentlige enheder hurtigst muligt afgør, om de er omfattet af NIS2-direktivet, da implementeringen kan medføre en væsentlig administrativ og økonomisk byrde. Vi anbefaler, at I får et overblik over informationsaktiver og forretningsprocesser, foretager en gap-analyse af kravene i NIS2 og lægger en plan for implementering og vedligeholdelse.

Start nu, så I er klar til den 17. oktober 2024!

Fortsæt læsningen her