Nu er NIS2 virkelighed
Så kom alle fire NIS2-vejledninger – og da NIS2-loven (L.141) træder i kraft i dag, den 1. juli 2025, er det også på sin plads. Mange virksomheder og offentlige organisationer har haft svært ved at finde ud af, hvordan man helt konkret efterlever kravene i praksis. Usikkerheden har været stor: Hvem er egentlig omfattet? Hvad betyder topledelsens ansvar? Hvordan og hvornår skal man rapportere hændelser, og til hvem?
Det er nu alt sammen blevet mere overskueligt, og man kan med fordel søge hjælp i de fire vejledninger, som Styrelsen for Samfundssikkerhed har udarbejdet. De dækker alt fra hændelseshåndtering til ledelsesansvar og implementering af cybersikkerhedsforanstaltninger – og indeholder tilmed konkrete eksempler, så man ikke står helt på bar bund.
Betyder det så, at vi kan læne os tilbage nu? På ingen måde. Én ting er, at lovkravene skal implementeres – noget andet er, at de også skal efterleves. Og det skal ske på en måde, der er tilpasset virksomhedens risikobillede og samfundsmæssige betydning. Heldigvis står der i lovteksten, at man med fordel kan læne sig op ad internationale standarder. Specifikt nævnes ISO/IEC 27001 og ISA/IEC 62443 – to af de mest anerkendte sikkerhedsstandarder i verden.
Er din virksomhed omfattet?
Det første, man skal have styr på, er, om ens virksomhed overhovedet er omfattet af NIS2. Det afhænger både af, hvilken branche man er i, og hvor stor man er. Hvis virksomheden har over 50 ansatte eller en årlig omsætning eller balance på over 10 mio. euro, og samtidig er aktiv inden for én af de sektorer, der står i bilag 1 og 2 i loven, så er der god grund til at læse videre. Men også mindre virksomheder kan være omfattet, hvis de spiller en særlig vigtig rolle for samfundet. Og hvis bare én del af forretningen falder ind under loven, så gælder reglerne faktisk for hele virksomheden.
Krav til cybersikkerhed
NIS2 handler ikke kun om at have styr på teknikken – det handler om at få hele organisationen med. Loven indeholder ti områder, hvor der skal være styr på cybersikkerheden. Det dækker alt fra backup og hændelseshåndtering til træning, adgangskontrol og sikker softwareudvikling. Der er ikke tale om anbefalinger – det er minimumskrav, som man skal kunne dokumentere. Det gode er, at kravene giver en solid struktur til at få styr på sin sikkerhed, og at de bygger på velkendte principper fra ISO 27001 og ISA/IEC 62443.
Ledelsens ansvar
Topledelsen slipper ikke for ansvar, tværtimod. NIS2 gør det helt klart, at bestyrelse og direktion er ansvarlige for, at cybersikkerheden bliver taget alvorligt. Det handler både om at sætte retningen og om at sikre, at der bliver fulgt op. Og det er ikke kun på papiret. I værste fald kan der blive tale om personlige sanktioner. Derfor er det vigtigt, at ledelsen får de rette kompetencer og sikrer, at hele organisationen arbejder struktureret med cybersikkerhed.
Underretningspligt
Hvis noget går galt – altså hvis der sker en væsentlig hændelse, som f.eks. påvirker drift, økonomi eller andre parter – så har man pligt til at underrette både myndigheder og CSIRT’en. Det skal ske hurtigt: første melding inden for 24 timer, en opfølgning inden for 72 timer og en endelig rapport senest efter en måned. Der er endda også mulighed for at sende frivillige underretninger, hvis man er i tvivl – det er bedre at være på forkant.
Leverandørers ansvar
Hvis du er leverandør til en NIS2-omfattet virksomhed, så kommer du heller ikke udenom. Du forventes at kunne dokumentere, at du tager cybersikkerheden alvorligt. Dette gælder især hvis du f.eks. udvikler software, drifter systemer eller har adgang til kritiske data. Dine kunder vil kunne kræve dokumentation, stille spørgsmål og måske endda auditere dig.
Hvordan kommer man i gang?
Det vigtigste er at få startet. Her er tre enkle trin, der kan hjælpe jer i gang:
- Få overblik: Lav en GAP-analyse i forhold til de krav, der stilles i §6.
- Få styr på dokumentationen: Politikker, procedurer og ansvarsplacering.
- Vær klar til tilsyn: Sørg for, at I kan forklare jeres sikkerhedsarbejde og vise, hvad I har gjort.