Dette skal din virksomhed vide om NIS2

En lang række danske virksomheder bliver d. 18. oktober 2024 underlagt EU's nye informations- og cybersikkerhedsdirektiv, NIS2. René Matthiassen, partner og senior sikkerhedskonsulent hos Frontdoor Security, giver i denne artikel svaret på fire spørgsmål, som din virksomhed skal have styr på for at være bedst muligt forberedt på det nye direktiv.

1. Hvad er NIS2?

NIS2 er efterfølgeren til NIS (Network and Information Security), der trådte i kraft i 2018. NIS2-direktivet er en lovgivningsmæssig retsakt, der har til formål at opnå et højt fælles niveau af cybersikkerhed i hele Den Europæiske Union. Medlemsstaterne skal sikre, at væsentlige og vigtige enheder træffer passende tekniske, operationelle og organisatoriske foranstaltninger for at håndtere risici forbundet med sikkerheden af netværks- og informationssystemer. Hertil skal direktivet også forhindre eller minimere virkningen af hændelser på modtagere af tjenester. Foranstaltningerne skal være baseret på en all hazard-tilgang, der tager højde for både naturlige og menneskeskabte hændelser.

2. Hvem gælder NIS2 for?

NIS2-direktivet ventes at omfatte virksomheder i kritiske sektorer, herunder energi, sundhedspleje, transport, bank og finans, postvæsen, fremstilling samt digital infrastruktur. Direktivet klassificerer organisationer som enten ‘vigtige’ eller ‘væsentlige’ enheder, baseret på deres størrelse samt nødvendigheden af den branche, de eksisterer i, eller de tjenester, som de leverer. Klassificeringen af den individuelle organisation afhænger af den rolle, de yder i samfundet, økonomien samt andre sektorers afhængighed.
Generelt definerer NIS2-direktivet ‘vigtige’ og ‘væsentlige’ organisationer på følgende måde:

  • ‘Vigtige’ organisationer har mellem 50 og 250 ansatte og en årlig omsætning under 50 millioner euro (eller en balancesum på højst 43 millioner euro). Hvis der er indikationer på, at en vigtig organisation ikke har overholdt kravene i direktivet, kan de blive underlagt tilsyn.
  • ‘Væsentlige’ organisationer har mere end 250 ansatte og en årlig omsætning på mindst 50 millioner euro (eller en balancesum på mindst 43 millioner euro). Væsentlige organisationer vil blive overvåget proaktivt for at fastslå, at de overholder NIS2-direktivet.

3. Hvordan bliver man NIS2-compliant gennem projektledelse?

NIS2-direktivet er et minimumskrav, der skal efterleves. Her gælder en række organisatoriske krav, herunder at ledelsen skal have kompetence til at kunne lave risikovurderinger, have cybersecurity-træning samt have beredskabsplaner på plads. Udover de organisatoriske krav og tekniske implementeringer kræver det også, at organisationen har sin dokumentation opdateret, som eksempelvis risikovurderinger og asset-registrer.

4. Hvordan arbejder man med de forandringer, som NIS2-compliance medbringer?

Implementering af NIS2-compliance kræver en systematisk og grundig tilgang, der involverer forståelse af direktivet, gap-analyse, planlægning, implementering, overvågning, dokumentation og samarbejde. Denne proces kan være kompleks og kræver engagement fra organisationen hele vejen rundt. Det er vigtigt at man forstår, at NIS2-compliance ikke bare er midlertidigt, men skal rulles ud i organisationen efterfølgende og vedligeholdes.

 

Læs mere om NIS2 her!

NIS2-direktivet er et minimumskrav, der skal efterleves i hele organisationen."

René Matthiassen, partner og senior sikkerhedskonsulent hos Frontdoor Security.