+50 medarbejdere i virksomheeden
Få overblik over NIS2 – så du kan leve op til de nye krav
EU’s medlemslande har vedtaget en ny version af Net- og Informationssikkerhedsdirektivet (NIS2). NIS2-direktivet udvider EU-kravene til virksomheders og organisationers tilgang til risikostyring, sikkerhedsimplementering og parathed til håndtering af cyberangreb. Fristen for implementering er fastsat til den 1. marts 2025.
Hvad er NIS2?
Du har sikkert allerede hørt om NIS2, som mange virksomheder allerede omtaler som ”det nye GDPR”. NIS-direktivet regulerer og fastlægger foranstaltninger for virksomheder og myndigheder på cyber- og informationssikkerhedsområdet.
Formålet med NIS2 er at styrke og ensarte cybersikkerheden og modstandsdygtigheden overfor cybertrusler på tværs af EU. Det betyder skærpede krav for flere sektorer, hvor organisationer skal forholde sig til blandt andet risikostyring, kontrol, rapportering og tilsyn.
Generelt skubbes virksomheder og organisationer til at tænke Cyber Security ind i alle deres processer.
Er din virksomhed omfattet af NIS2?
For at finde ud af om din virksomhed er omfattet af NIS2, skal du se på, hvilken sektor virksomheden opererer i. Når det kommer til NIS2 kan en virksomhed enten være en væsentlig enhed (særlig kritisk) eller en vigtig enhed (kritisk). Begge dele er omfattet kravene.
Du er som virksomhed reguleret, hvis I udfører aktiviteter inden for en eller flere af følgende sektorer:
Væsentlige enheder
- Digital infrastruktur: DNS, datacentre, cloud-udbydere, MSP’er, kommunikationsplatforme, topdomæneadministratorer, tillidstjenester.
- Energi: Producenter, operatører, forsyning, distributører, udsendelse og salg af elektricitet, olie, gas, fjernvarme/køling, hydrogen, operatører og producenter af elbils ladestandere.
- Transport: Luft, spor, vej- og vand samt fragt- og havnevirksomheder.
- Offentlig forvaltning: Centraladministration, regioner og kommuner.
- Bank- og finansielle markedsinfrastrukturer: Bank-, kredit-, handel- og børsvirksomheder samt deres infrastruktur.
- Sundhed: Sundhedsudbydere, forskningslaboratorier i sundhedsfremme, farmaceutiske virksomheder samt producenter af medicinsk udstyr og råvarer.
- Drikke- og spildevand: Leverandører, distributører, indsamling og bortskaffelse.
- Rummet: Rumfartsinfrastruktur, software og services.
Vigtige enheder
- Kemikalier: Fremstilling, produktion og distribution.
- Affaldshåndtering: Opsamling, transport, gendannelse og bortskaffelse.
- Post- og kurérvirksomhed: Klargøring, sortering, transport og levering af post og pakker.
- Fødevarevirksomheder: Fremstilling, distribution og produktion.
- Digitale serviceudbydere: Udbydere af online markedspladser, søgemaskiner, sociale platforme.
- Forskning: Forskningsorganisationer.
- Produktionsvirksomheder af særligt vigtigt udstyr: Fremstilling og produktion af pharma, elektronisk, optisk udstyr, maskineri, køretøjer og reservedele, der vurderes at være særligt vigtigt for samfundet.
Hvis din virksomhed er leverandør til en NIS2-påvirket virksomhed, kan I også forvente at blive ramt på grund af et styrket kædeansvar.
Minimumskrav for NIS2-virksomheder
Det er ikke kun sektoren, der afgør, om en virksomhed er omfattet af NIS2. Næste step er at se på virksomhedens størrelse. Det er kun virksomheder, der som minimum defineres som mellemstore jf. EU-kommissionens definition, der er omfattet. Din virksomhed er altså omfattet af NIS2, hvis den lever op til en eller flere af følgende krav:
+75 mio. kr. i omsætning (+10 mio. EUR)
+75 mio. kr. i formueopgørelse (+10 mio. EUR)
Det betyder de nye regler for din virksomhed
Er din virksomhed omfattet af de nye NIS2-regler? Så skal I have styr på din generelle cyberhygiejne. Det betyder, at I skal leve op til nogle krav til ledelse, risikostyring, forretningskontinuitet og rapportering til myndighederne.
Du skal som virksomhed vise, hvordan jeres IT-sikkerhed ser ud, hvordan I håndterer jeres IT-sikkerhed, hvordan jeres IT-kommer op på benene igen, og hvor stærk jeres IT-sikkerhed er.
I direktivet er der fastsat en række obligatoriske foranstaltninger, der omfatter:
- Risikoanalyse og informationssystemsikkerhed
- Håndtering af hændelser
- Driftskontinuitet (f.eks. backup, reetablering og krisestyring)
- Løbende vurdering af sikkerhedsforanstaltninger
- Uddannelse af medarbejdere
- Kryptering
- Personalesikkerhed og adgangskontrol
Derudover bliver der indført en særlig indberetningspligt, hvor virksomheden skal underrette den pågældende myndighed om væsentlige hændelser.
Fire områder, du som minimum bør kigge på, for at imødekomme NIS2
#1 Assets
Du skal have styr på hardware og software, og hvordan det er beskyttet. Beskytter du alle dine enheder? Det gælder også, hvis du eksempelvis har en leverandør, der leverer software.
#2 Opdateringer
For at dit sikkerhedsniveau ikke sander til, er du nødt til at have fingeren på pulsen. Det gør du ved at holde systemerne opdaterede og løbende teste dit miljø af.
#3 Risikostyring
Hvordan tager du beslutninger? Hvilke risici tør du tage? Det kan være en god idé at etablere et årshjul for at håndtere risici og sikre stabilitet i forhold til virksomhedens funktioner, når det kommer til sikkerhed.
#4 Beredskabsplan
Hvordan håndterer I nødsituationer, kriser eller katastrofer? En beredskabsplan kan minimere skaden og sikre hurtig genoprettelse.
Myndighederne fører tilsyn, håndhæver og sanktionerer
Det er de sektoransvarlige myndigheder, der har ansvaret for at føre tilsyn og håndhæve kravene i direktivet. Der er forskellige tilsynskrav alt efter om din virksomhed vurderes til at være en væsentlig eller vigtig enhed.
Hvis din virksomhed er en væsentlig enhed, kan I forvente løbende proaktive tilsyn såsom revisioner, rapportering og peer reviews. Imens kan vigtige enheder forvente reaktive tilsyn, tvungne revisioner og rapportering, hvis der er mistanke om at organisationen ikke lever op til kravene.
Lever din virksomhed ikke op til kravene, er der mulighed for sanktionering i form af bøder, tvungne revisioner, sanktionering af ledelse og så videre.
Hvornår træder NIS2 i kraft?
I Danmark er fristen fastsat til den 1. marts 2025. Men arbejdet med at implementere NIS2-direktivet er forsinket. Det betyder, at implementeringsfristen kommer til at blive overskredet. Med hvor meget ved ingen endnu.
Før du kaster dig hovedkulds ud i NIS2, er det en god idé lige at stoppe op og overveje følgende, inden du kan blive helt klar til at efterleve reglerne.
#1 Overblik
Få overblik over, hvad I skal beskytte i virksomheden.
#2 Identificér
Identificér dine kritiske informationer og tag stilling til jeres risikovillighed.
#3 Definér indsatser
Definér de rigtige indsatser, som giver størst værdi, hvis din virksomhed bliver ramt af et cyberangreb i morgen.
Ofte stillede spørgsmål og svar om NIS2
Tryk på spørgsmålet, for at få svaret.
-
Hvad er formålet med NIS2?
Formålet med NIS2 er at styrke og ensarte cybersikkerheden og modstandsdygtigheden overfor cybertrusler på tværs af EU for virksomheder og offentlige myndigheder, der anses for at være kritiske for den danske økonomi og samfund.
-
Hvilke krav stiller NIS2
NIS2 stiller blandt andet krav om gennemførelse af cybersikkerhedsforanstaltninger som adgangskontrol og kryptering, hændelsesrapportering og procedurer i forbindelse med en cyberhændelse. Derudover giver styrkede tilsyns- og håndhævelsesbeføjelser.
-
Hvad er formålet med NIS2?
Formålet med NIS2 er at styrke og ensarte cybersikkerheden og modstandsdygtigheden overfor cybertrusler på tværs af EU for virksomheder og offentlige myndigheder, der anses for at være kritiske for den danske økonomi og samfund.
-
Hvilke virksomheder er omfattet af NIS2-direktivet?
Væsentlige enheder:
- Energi
- Sundhed
- Transport
- Banker og finansiel infrastruktur
- Drikke- og spildevand
- Digital infrastruktur
- Rummet
- Offentlig administration
Vigtige enheder:
- Post- og kurertjenester
- Affaldshåndtering
- Kemikalier
- Fødevarevirksomheder Produktionsvirksomheder
- Digitale serviceudbydere
- Forskning
Virksomheder der er leverandører til en NIS2-påvirket virksomhed, kan I også forvente at blive ramt på grund af et styrket kædeansvar.
-
Hvornår træder NIS2 i kraft?
I Danmark er fristen fastsat til den 1. januar 2025. Men arbejdet med at implementere NIS2-direktivet er forsinket. Det betyder, at implementeringsfristen kommer til at blive overskredet. Med hvor meget ved ingen endnu.
-
Hvordan lever jeg op til kravene?
For at sikre at du er forberedt til at leve op til de skærpede NIS2-krav, er det en god idé at alliere sig med nogle, der kender og forstår direktivet og processen. Det gør vi, og vi kan hjælpe både med rådgivning og implementering af NIS2-direktivet. Snak med en konsulent
Skal vi hjælpe dig i gang eller i mål med NIS2?
Synes du, at det virker uoverskueligt at komme i gang og leve op til de nye NIS2-krav? Du behøver heldigvis ikke at stå alene. Vi kan hjælpe dig med både rådgivning og implementering.
Lad os hjælpe dig med at:
- Identificere hvorvidt du er omfattet af direktivet
- Identificere gaps i forhold til kravene
- Implementere både organisatoriske og tekniske krav i jeres organisation.