Netværks- og informationssikkerhedssystemer er blevet en central bekymring i den digitale tidsalder, hvor vores samfund i stigende grad er afhængigt af en velfungerende og sikker digital infrastruktur. Med den hurtige digitale udvikling og stigende trusler fra cyberangreb er det blevet afgørende at styrke den kollektive indsats på området, og EU har derfor vedtaget NIS2-direktivet.
NIS2 er en opdateret version af det oprindelige NIS-direktiv (også kaldet Net- og Informationssikkerhedsdirektivet), som blev vedtaget i 2016 og trådte i kraft i 2018. Formålet med NIS2 er at styrke cybersikkerheden og beskytte kritiske infrastrukturer og tjenester i EU.
Hvad er NIS2?
NIS2-direktivet regulerer virksomheder og myndigheder på cyber- og informationssikkerhedsområdet, og lovgivningen stiller krav til implementering af tekniske, driftsmæssige og organisatoriske foranstaltninger for at kunne håndtere de risici, der truer systemerne.
Det nye NIS2-direktiv er en vigtig milepæl i EU's indsats for at beskytte kritiske infrastrukturer, og det udmønter sig i nationale bekendtgørelser, som organisationer skal efterleve. I forhold til det oprindelige direktiv introducerer NIS2 en række forbedringer og opdateringer – herunder:
- Udvidet anvendelsesområde: NIS2 dækker et bredere spektrum af sektorer og tjenester, fx fødevareproduktion og affaldshåndtering samt hele forsyningskæden i de omfattede sektorer.
- Forbedret tilsyn og håndhævelse: NIS2 indeholder skærpede krav til tilsyn og håndhævelse af cybersikkerhedsregler, hvilket giver organisationerne et større ansvar for at sikre overholdelse. I Danmark er det Erhvervsstyrelsen, der fører tilsyn med NIS-loven.
- Skærpede krav til sikkerhedsforanstaltninger: NIS2 stiller øgede krav til risikostyring og implementering af skadesforebyggende og -begrænsende foranstaltninger, der reducerer risici og konsekvenser.
Ved at forstå, hvad NIS2-direktivet er, og hvordan det påvirker organisationen, kan I møde de skærpede krav og undgå sanktionering – og ikke mindst minimere risikoen for cyberangreb.
Hvem er omfattet af NIS2?
NIS2-direktivet skelner mellem "essentielle entiteter" og "vigtige entiteter," og de sektorer, der er omfattet af direktivet, er:
Essentielle entiteter:
- Energi
- Transport
- Finans
- Sundhed
- Drikke- og spildevand
- Digital infrastruktur
- Offentlig administration
- Rumfart
Vigtige entiteter:
- Post- og pakkeservice
- Affaldshåndtering
- Kemiske produkter
- Fødevare
- Pharma, elektronik, optisk udstyr, maskineri og køretøjer
- Udbydere af online markedspladser, søgemaskiner og sociale platforme
NIS2-direktivet anerkender desuden vigtigheden af at beskytte hele forsyningskæden mod cybertrusler. Selvom direktivet primært er målrettet essentielle og vigtige entiteter, indeholder det også bestemmelser, der tager højde for cyberrisici i forsyningskæden.
Selvom direktivet ikke direkte pålægger alle organisationer i forsyningskæden at overholde de samme krav som de primære berørte entiteter, skaber det en kaskadeeffekt, hvor større organisationer stiller sikkerhedskrav til deres leverandører og partnere, hvorfor langt flere end ovennævnte vil blive berørt af NIS2-direktivet.
LÆS OGSÅ: Sådan laver du en overordnet politik for organisationens IT-sikkerhed
Hvad betyder NIS2 for din organisation?
NIS2-direktivet stiller krav til både ledelse, risikostyring, sikkerhedsforanstaltninger, forretningskontinuitet og rapportering til myndighederne. Alt sammen med henblik på at forbedre cybersikkerheden og beskytte organisationens netværks- og informationssystemer.
Blandt de vigtigste krav i direktivet er:
1) Ledelsesansvar
Organisationens ledelse skal have bekendtskab til direktivets krav, samt dens risikostyringsindsats. Der kommer således til at være et direkte ledelsesansvar i forhold til at identificere og håndtere cyberrisici samt sikre, at kravene i NIS2-direktivet overholdes.
2) Risikoanalyse og -styring
Organisationer, som er omfattet af NIS2-direktivet, skal gennemføre en risikoanalyse og identificere og vurdere alle væsentlige risici i forbindelse med sårbarheder og trusler. Herefter skal der indføres passende sikkerhedsforanstaltninger.
3) Sikkerhedsforanstaltninger
Berørte organisationer skal implementere passende tekniske og organisatoriske sikkerhedsforanstaltninger for at beskytte deres netværks- og informationssystemer mod cyberrisici. Det kan blandt andet omfatte opdatering af software og hardware, anvendelse af kryptering, styrkelse af adgangskontrol og etablering af regelmæssige sikkerhedsrevisioner.
4) Forretningskontinuitet
Organisationen skal forholde sig til – og have en plan for – hvordan kontinuiteten sikres skulle en cybersikkerhedshændelse opstå. Herunder nødprocedurer og etablering af en kriseorganisation.
5) Rapportering
NIS2-direktivet kræver, at berørte organisationer rapporterer cybersikkerhedshændelser, der har en væsentlig indvirkning på kontinuiteten af de tjenester, de leverer. Det betyder, at der skal etableres processer for, hvordan der rapporteres rettidigt og inden for rammerne.
Hvis ovenstående hændelser indtræffer, skal det indberettes hurtigst muligt på Virk – og senest inden for 24 timer. Organisationen skal blandt andet oplyse om:
- antallet af brugere berørt af hændelsen
- hændelsens årsag og varighed
- det berørte geografiske område, herunder andre EU-lande
- håndtering af hændelsen
Når indberetningen sker på Virk, bliver den automatisk sendt til både Erhvervsstyrelsen og Center for Cybersikkerhed.
6) Forsyningskæden
Under NIS2-direktivet skal de omfattede organisationer også tage hensyn til deres forsyningskæders sikkerhed. Det betyder, at I skal vurdere og håndtere risiciene forbundet med jeres leverandører og andre samarbejdspartnere i forsyningskæden.
I praksis opfordrer NIS2 organisationer til at implementere passende sikkerhedsforanstaltninger og overvåge forsyningskæden for at minimere risikoen for cyberangreb. Det kan blandt andet ske ved at indføre krav til leverandører om at overholde specifikke sikkerhedsstandarder, gennemføre regelmæssige sikkerhedsrevisioner og kræve, at leverandører rapporterer eventuelle cybersikkerhedshændelser.
Hvornår træder NIS2 i kraft?
Den 27. december 2022 blev NIS2-direktivets endelige tekst offentliggjort, og dermed begyndte nedtællingen for implementering.
Direktivet skal være implementeret i dansk lov senest den 17. oktober 2024, og selvom der på papiret er lang tid, kan det kræve relativt store forandringer og allokering af ressourcer at leve op til kravene, og derfor kan alle berørte organisationer med fordel gå i gang allerede nu.
Der findes en række eksisterende rammeværktøjer, certificeringer og lignende, der kan hjælpe organisationerne langt hen ad vejen – blandt andet ISO 27001-standarden – og derudover kan det være en god idé at få ekstern rådgivning til implementeringen.
