Hvad er NIS2?
NIS står for Network and Information Security og er et direktiv, der har til formål at styrke det kollektive digitale forsvar i EU- og EØS-landene. Direktivet blev allerede vedtaget i EU i 2016, og vi står nu over for en udvidelse af NIS-direktivet med implementeringen af NIS2.
Det nye direktiv er blevet formelt godkendt og forventes at være færdigt i oktober 2024.
Betydningen af NIS2
Antallet af cyberangreb er steget markant i de senere år og påvirker organisationer, infrastruktur og enheder i højere grad end tidligere. Sikkerhed og foranstaltninger er blevet vigtigere for yderligere at beskytte kritiske enheder, og det nye direktiv er mere omfattende for at styrke sikkerheden og beredskabet.
Hvilke krav stiller NIS2 til virksomhed?
-
Ledelsens ansvar Ledelsen i en organisation skal være bekendt med kravene i direktivet og organisationens risikostyring. Det vil være ledelsens ansvar at sikre overholdelse af kravene.
-
Risikostyring og -håndtering Virksomhed, der kvalificerer sig til NIS2-kriterierne, skal gennemføre risikoanalyser og identificere sårbarheder og trusler.
-
Sikkerhed for leverandører Organisationer skal overveje sikkerheden hos deres leverandører. Risikovurdering og -styring skal vurderes i forhold til leverandøren for at identificere sårbarheder og trusler.
-
Sikkerhedsforanstaltninger Berørte virksomheder skal implementere sikkerhedsforanstaltninger, der dækker netværks- og informationssikkerhed mod potentielle risici.
-
Rapportering NIS2 kræver, at berørte virksomheder rapporterer enhver hændelse, der har en betydelig indvirkning på den leverede service.
-
Kontinuitet i virksomheden Berørte virksomheder skal sikre kontinuitet i tilfælde af en større sikkerhedshændelse. Derfor skal virksomheden arbejde på at minimere indvirkningen på driften gennem krisestyring og disaster recovery-foranstaltninger.
Vil du blive påvirket af NIS2?
Direktivet gælder hovedsageligt for virksomheder i udvalgte sektorer og er kategoriseret som vigtige og væsentlige sektorer. Der er også nogle undtagelser, og direktivet kan også gælde for mindre organisationer, der har en vigtig rolle i samfundet og økonomien.
Kort sagt vil flere organisationer være omfattet af det nye direktiv sammenlignet med NIS1.
Det nye direktiv skelner mellem to kategorier med forskellige sektorer.
Vigtige sektorer
- Post- og kurertjenester
- Produktion og distribution af kemikalier
- Produktion, forarbejdning og distribution af fødevarer
- Affaldshåndtering
- Udbydere af digitale tjenester
- Forskning og udvikling
- Produktion af elektronik, medicinsk udstyr osv.
Væsentlige sektorer
- Energi
- Transport
- Bankvirksomhed
- Infrastruktur til finansielle markeder
- Vand og spildevand
- Drikkevand
- Sundhedstjenester
- Offentlig administration
- Luft- og rumfart
Overvågning og sanktioner
Sammenlignet med NIS1 vil NIS2 stille strengere krav til tilsynet for at sikre overholdelse af direktivet. Der vil være et strengere tilsyn for væsentlige sektorer end for vigtige sektorer.
Manglende overholdelse af NIS2-reglerne kan resultere i en bøde:
- Vigtige sektorer kan få bøder på op til 7 millioner euro eller 1,4 % af deres globale årlige omsætning.
- Væsentlige sektorer kan få bøder på op til 10 millioner euro eller 2 % af deres globale omsætning.
Forberedelser og vores anbefalinger
Vi anbefaler, at du undersøger relevansen af NIS2 for din organisation nu. Planlægning, implementering og drift af direktivets tiltag kan være tidskrævende og kræve samarbejde på tværs af afdelinger og fagområder.
Der findes allerede en række rammeværker, certificeringer eller lignende, som hjælper din organisation med at opfylde de nye krav, herunder ISO 270001. Det er derfor vigtigt at tjekke, om du allerede opfylder et eller flere krav fra NIS2.
Sådan kan vi hjælpe din virksomhed
Vi kan ikke fortælle dig, om din virksomhed bliver omfattet af NIS2-direktivet, men vi kan hjælpe dig med råd og vejledning for at sikre, at du kan opfylde kravene i NIS2-direktivet.
Har du brug for at diskutere NIS2?
Kontakt os for en uforpligtende.
Vi hjælper dig med at finde løsninger, der understøtter de forskellige krav i NIS2-direktivet. Samtidig er det en god mulighed for at komme i gang med vigtige sikkerhedsforanstaltninger for din virksomhed.
