Bliv klogere på NIS2-direktivet

Det oprindelige NIS-direktiv (NIS1) fra 2016, EU’s første større lovgivning for cybersikkerhed, er blevet udvidet til NIS2-direktivet, som har til formål at forbedre cybersikkerheden og -modstandsdygtigheden i hele EU.

NIS1 stillede krav om sikkerhed og hændelsesrapportering for operatører af væsentlige tjenester og digitale tjenesteudbydere. Men med teknologisk udvikling og øget cybertrussel blev det klart, at der var behov for en stærkere og mere omfattende regulering for at håndtere de voksende sikkerhedsrisici, og derfor er sikkerhedskravene blevet en del strammere i det nye direktiv, og flere operatører vil blive omfattet.

Ifølge Center for Cybersikkerhed er implementeringen af direktivet forsinket, og derfor vil loven ikke gælde fra 17. oktober 2024, som ellers først var planlagt. Det forventes, at loven vil træde i kraft i Danmark to måneder senere, omkring slutningen af 2024.

Hvem bliver omfattet af NIS2-direktivet?

For at man kan blive omfattet af NIS2 som virksomhed, skal man mindst have 50 ansatte, omsætte mere end 10 millioner euro eller have en samlet årlig balance på 10 millioner euro. Ifølge IT-branchen vil omkring 1.400 danske virksomheder blive ramt af lovgivningen.

Dansk Industri har lavet en god oversigt over, hvilke brancher og virksomhedstyper der bliver omfattet.

Den er delt ind i væsentlige og vigtige virksomheder, hvor væsentlige virksomheder skal leve fuldt op til alle direktivets krav. Vigtige virksomheder skal også leve op til alle krav, men ikke nødvendigvis i samme omfang.

Virksomheder indenfor væsentlige brancher er:

Digital infrastruktur
Energi
Transport
Offentlig forvaltning
Bank- og finansiel markedinfrastrukturer
Drikke- og spildevand
Sundhed
Rummet

Virksomheder indenfor vigtige brancher er:

Kemikalier
Affaldshåndtering
Post- og kurervirksomhed
Fødevarer
Forskning
Digitale serviceudbydere
Produktionsvirksomheder af særlig vigtigt udstyr

Læs på Dansk Industri og bliv klogere på, hvilke typer af virksomheder indenfor de brancher, der vil blive omfattet af loven: her

Hvilke nye NIS2 krav skal man leve op til?

Risikoanalyse og sikkerhedspolitikker:
Man skal have klare retningslinjer for at identificere og evaluere trusler mod netværks- og informationssystemer og derefter implementere passende tiltag for at beskytte dem. Man skal også sørge for, at ens politikker faktisk er effektive, hvis man bliver sikkerhedstruet.
Alle medarbejdere skal have kendskab til grundlæggende sikkerhedsforanstaltninger og være uddannet i at identificere og håndtere sikkerhedsrisici.
Håndtering af hændelser:
Man skal have planer og procedurer på plads for at håndtere eventuelle sikkerhedshændelser eller angreb, når de opstår, for at minimere skade og genoprette normal drift så hurtigt som muligt.
Forretningskontinuitet og nødberedskab:
Man skal have planer for, hvordan man holder forretningen kørende, selv når der opstår uforudsete situationer som datatab eller katastrofer. Det inkluderer at sikre, at der er backup af data og systemer og en plan for at komme tilbage til normal drift.
Sikkerhed i forsyningskæden:
Dette handler om at sikre, at man tager hensyn til sikkerheden hos leverandører og serviceudbydere, da deres svagheder kan påvirke en selv. Det skal sikres, at deres sikkerhedsforanstaltninger er på plads og opfylder virksomhedens standarder.
Sikkerhed i erhvervelse, udvikling og vedligeholdelse af systemer:
Dette handler om at sikre, at sikkerhed er indbygget i hele cyklussen af systemerne, lige fra når man køber dem, gennem udvikling og løbende vedligeholdelse. Det inkluderer også at identificere og løse sårbarheder.
Politikker og procedurer for brug af kryptografi:
Dette handler om at have retningslinjer for, hvordan og hvornår man skal bruge kryptografi til at beskytte data og kommunikation i virksomheden.
Sikkerhed vedrørende HR og adgangskontrol:
Man skal sikre, at kun de rette personer har adgang til systemer og data og have procedurer på plads for at beskytte medarbejderes sikkerhed.
Flerfaktorautentificering:
Man skal sørge for at bruge flere lag af sikkerhed for at verificere en persons identitet og sikre, at kommunikationssystemer er beskyttet mod uautoriseret adgang og manipulation.