Gå direkte til indhold
 

Få overblik over NIS2 – så du kan leve op til de nye krav

EU’s medlemslande har vedtaget en ny version af Net- og Informationssikkerhedsdirektivet (NIS2). NIS2-direktivet udvider EU-kravene til virksomheders og organisationers tilgang til risikostyring, sikkerhedsimplementering og parathed til håndtering af cyberangreb. Fristen for implementering er fastsat til den 1. januar 2025.

nis2-analyse-eu

Hvad er NIS2?

Du har sikkert allerede hørt om NIS2, som mange virksomheder allerede omtaler som det ”Nye GDPR”.

NIS-direktivet regulerer og fastlægger foranstaltninger for virksomheder og myndigheder på cyber- og informationssikkerhedsområdet. Formålet med NIS2 er at styrke og ensarte cybersikkerheden og modstandsdygtigheden overfor cybertrusler på tværs af EU. Det betyder skærpede krav for flere sektorer, hvor organisationer skal forholde sig til blandt andet risikostyring, kontrol, rapportering og tilsyn. Generelt skubbes virksomheder og organisationer til at tænke Cyber Security ind i alle deres processer.

Er din virksomhed omfattet af NIS2?

For at finde ud af om din virksomhed er omfattet af NIS2, skal du se på, hvilken sektor virksomheden opererer i. Når det kommer til NIS2 kan en virksomhed enten være en væsentlig enhed (særlig kritisk) eller en vigtig enhed (kritisk). Begge dele er omfattet kravene.

Du er som virksomhed reguleret, hvis I udfører aktiviteter inden for en eller flere af følgende sektorer:

Væsentlige enheder

  • Digital infrastruktur: DNS, datacentre, cloud-udbydere, MSP’er, kommunikationsplatforme, topdomæneadministratorer, tillidstjenester.
  • Energi: Producenter, operatører, forsyning, distributører, udsendelse og salg af elektricitet, olie, gas, fjernvarme/køling, hydrogen, operatører og producenter af elbils ladestandere.
  • Transport: Luft, spor, vej- og vand samt fragt- og havnevirksomheder.
  • Offentlig forvaltning: Centraladministration, regioner og kommuner.
  • Bank- og finansielle markedsinfrastrukturer: Bank-, kredit-, handel- og børsvirksomheder samt deres infrastruktur.
  • Sundhed: Sundhedsudbydere, forskningslaboratorier i sundhedsfremme, farmaceutiske virksomheder samt producenter af medicinsk udstyr og råvarer.
  • Drikke- og spildevand: Leverandører, distributører, indsamling og bortskaffelse.
  • Rummet: Rumfartsinfrastruktur, software og services.

Vigtige enheder

  • Kemikalier: Fremstilling, produktion og distribution.
  • Affaldshåndtering: Opsamling, transport, gendannelse og bortskaffelse.
  • Post- og kurérvirksomhed: Klargøring, sortering, transport og levering af post og pakker.
  • Fødevarevirksomheder: Fremstilling, distribution og produktion.
  • Digitale serviceudbydere: Udbydere af online markedspladser, søgemaskiner, sociale platforme.
  • Forskning: Forskningsorganisationer.
  • Produktionsvirksomheder af særligt vigtigt udstyr: Fremstilling og produktion af pharma, elektronisk, optisk udstyr, maskineri, køretøjer og reservedele, der vurderes at være særligt vigtigt for samfundet.

Hvis din virksomhed er leverandør til en NIS2-påvirket virksomhed, kan I også forvente at blive ramt på grund af et styrket kædeansvar. 

Brug for sparring?

Minimumskrav for NIS2-virksomheder

Det er ikke kun sektoren, der afgør, om en virksomhed er omfattet af NIS2. Næste step er at se på virksomhedens størrelse. Det er kun virksomheder, der som minimum defineres som mellemstore jf. EU-kommissionens definition, der er omfattet. Din virksomhed er altså omfattet af NIS2, hvis den lever op til en eller flere af følgende krav:

+50 medarbejdere i virksomheeden

+75 mio. kr. i omsætning (+10 mio. EUR)

+75 mio. kr. i formueopgørelse (+10 mio. EUR)

Det betyder de nye regler for din virksomhed

Er din virksomhed omfattet af de nye NIS2-regler? Så skal I have styr på din generelle cyberhygiejne. Det betyder, at I skal leve op til nogle krav til ledelse, risikostyring, forretningskontinuitet og rapportering til myndighederne.

Du skal som virksomhed vise, hvordan jeres IT-sikkerhed ser ud, hvordan I håndterer jeres IT-sikkerhed, hvordan jeres IT-kommer op på benene igen, og hvor stærk jeres IT-sikkerhed er.

I direktivet er der fastsat en række obligatoriske foranstaltninger, der omfatter:

  • Risikoanalyse og informationssystemsikkerhed
  • Håndtering af hændelser
  • Driftskontinuitet (f.eks. backup, reetablering og krisestyring)
  • Løbende vurdering af sikkerhedsforanstaltninger
  • Uddannelse af medarbejdere
  • Kryptering
  • Personalesikkerhed og adgangskontrol

Derudover bliver der indført en særlig indberetningspligt, hvor virksomheden skal underrette den pågældende myndighed om væsentlige hændelser.

Overhold kravene

NIS2 nye regler

Fire områder, du som minimum bør kigge på, for at imødekomme NIS2

#1 Assets

Du skal have styr på hardware og software, og hvordan det er beskyttet. Beskytter du alle dine enheder? Det gælder også, hvis du eksempelvis har en leverandør, der leverer software.

#2 Opdateringer

For at dit sikkerhedsniveau ikke sander til, er du nødt til at have fingeren på pulsen. Det gør du ved at holde systemerne opdaterede og løbende teste dit miljø af.

#3 Risikostyring

Hvordan tager du beslutninger? Hvilke risici tør du tage? Det kan være en god idé at etablere et årshjul for at håndtere risici og sikre stabilitet i forhold til virksomhedens funktioner, når det kommer til sikkerhed.

#4 Beredskabsplan

Hvordan håndterer I nødsituationer, kriser eller katastrofer? En beredskabsplan kan minimere skaden og sikre hurtig genoprettelse.

NIS2 tilsyn

Myndighederne fører tilsyn, håndhæver og sanktionerer

Det er de sektoransvarlige myndigheder, der har ansvaret for at føre tilsyn og håndhæve kravene i direktivet. Der er forskellige tilsynskrav alt efter om din virksomhed vurderes til at være en væsentlig eller vigtig enhed.

Hvis din virksomhed er en væsentlig enhed, kan I forvente løbende proaktive tilsyn såsom revisioner, rapportering og peer reviews. Imens kan vigtige enheder forvente reaktive tilsyn, tvungne revisioner og rapportering, hvis der er mistanke om at organisationen ikke lever op til kravene.

Lever din virksomhed ikke op til kravene, er der mulighed for sanktionering i form af bøder, tvungne revisioner, sanktionering af ledelse og så videre.

Brug for hjælp?

Hvornår træder NIS2 i kraft?

I Danmark er fristen fastsat til den 1. januar 2025. Men arbejdet med at implementere NIS2-direktivet er forsinket. Det betyder, at implementeringsfristen kommer til at blive overskredet. Med hvor meget ved ingen endnu.

3 steps: Sådan bliver du klar til NIS2

Før du kaster dig hovedkulds ud i NIS2, er det en god idé lige at stoppe op og overveje følgende, inden du kan blive helt klar til at efterleve reglerne.

 

Step #1

Få overblik over, hvad I skal beskytte i virksomheden.

 

Step #2

Identificér dine kritiske informationer og tag stilling til jeres risikovillighed.

 

Step #3

Definér de rigtige indsatser, som giver størst værdi, hvis din virksomhed bliver ramt af et cyberangreb i morgen.

Ofte stillede spørgsmål og svar om NIS2

Tryk på spørgsmålet, for at få svaret.

Skal vi hjælpe dig i gang eller i mål med NIS2?

Synes du, at det virker uoverskueligt at komme i gang og leve op til de nye NIS2-krav? Du behøver heldigvis ikke at stå alene. Vi kan hjælpe dig med både rådgivning og implementering.

Lad os hjælpe dig med at:

  • Identificere hvorvidt du er omfattet af direktivet
  • Identificere gaps i forhold til kravene
  • Implementere både organisatoriske og tekniske krav i jeres organisation.

Lad os tage en snak om NIS2 i din virksomhed. Udfyld formularen, og vi ringer dig op