Hvad er NIS2? Her er EU's nye IT-sikkerhedsdirektiv!

Er du klar til, at NIS2 træder i kraft i juli 2025? Her er alt, hvad du skal vide for at komme i mål med EU's IT-sikkerhedsdirektiv NIS2.

Hvad er NIS2?

EU har i mange år forsøgt at styrke cybersikkerheden og beskytte digitale tjenester, netværksinfrastruktur og kritisk information mod cybertrusler i europæisk regi via sikkerhedsdirektiver. I 2016 udkom NIS1-direktivet, som er forgængeren til NIS2-direktivet. NIS-direktiverne står for “Network and Information Systems Directive”. NIS2-direktivet blev vedtaget af Den Europæiske Union og medlemslandene i 2022 for at øge de fælles sikkerhedsstandarder for netværks- og informationssystemer på tværs af medlemslandene. Danske virksomheder skal have styr på alle kravene i NIS2 inden juli 2025.

Hvad er de centrale elementer i NIS2-direktivet?

Krav til sikkerhedsforanstaltninger:

Organisationer, der er omfattet af direktivet, skal implementere passende tekniske og organisatoriske foranstaltninger for at beskytte deres netværks- og informationssystemer mod cyberrisici.

Hændelseshåndtering:

Organisationer skal etablere procedurer til håndtering af cyberhændelser og til at informere de nationale myndigheder, hvis der sker alvorlige sikkerhedsbrud.

Myndigheder og samarbejde:

Medlemsstaterne skal etablere nationale myndigheder for netværks- og informationssikkerhed og fremme samarbejde og informationsskift på tværs af medlemsstaterne.

Sanktioner:

Medlemsstaterne skal fastsætte sanktioner for overtrædelser af direktivet, og det spås at bøderne kan være op mod 4% af den samlende omsætning.

Hvad er formålet med NIS2?

NIS2-direktivet har til formål at bekæmpe, beskytte og styrke følgende fem områder:

Stigende cybertrusler:

Cybertruslen steg eksplosivt under corona-pandemien og i dag anslås det, at cyberkriminalitet er verdens største kriminalitetsform. Der har derfor været et stigende behov for at etablere stadig mere komplekse fælles standarder og foranstaltninger for at imødegå disse trusler på tværs af medlemsstaterne.

Beskyttelse af kritisk infrastruktur:

Mange sektorer, såsom energi, transport, sundhed og finans er i dag dybt afhængige af digitale systemer og netværk. Et angreb på disse systemer kan have alvorlige konsekvenser for landets samfund og økonomi, og de er derfor essentielle at beskytte. Både NIS1 og NIS2 har til formål at minimere risikoen for nedbrud eller skader.

Styrkelse af EU’s digitale marked:

Ved at etablere fælles standarder og regler for cybersikkerhed kan EU bidrage til at skabe tillid og sikkerhed på tværs af medlemslandene. Dette kan fremme det digitale marked.

Hændelseshåndtering og responsplan:

Begge IT-sikkerhedsdirektiver indebærer krav om oprettelse af procedurer til hændelseshåndtering og responsplaner i tilfælde af, at hackerne alligevel får kæmpet sig igennem en virksomheds IT-sikkerhed. Det er med til at sikre, at virksomheden kan reagere hurtigt og effektivt på et cyberangreb og derved minimere skaderne.

Styrkelse af samarbejde:

NIS1 og NIS2 har begge haft til formål at styrke samarbejde mellem medlemslandene og myndighederne for netværks- og informationssikkerhed. Dette samarbejde kan bidrage til at udveksle information og at koordinere indsatsen for at tackle cybertrusler – også i forbindelse med online krigsførelse.

Ultimativt er europæiske IT-sikkerhedsdirektivers formål at kæmpe for et mere sikkert digitalt miljø for de europæiske borgere, og nationalt at beskytte den kritiske infrastruktur. Hertil er direktiverne med til at beskytte borgernes og virksomhedernes data.

Hvem er omfattet af NIS2?

Følgende brancher og institutioner vil blive omfattet NIS2:

  • Bank- og finansmarkedsinfrastruktur
  • Digital infrastruktur
  • Digitale tjenester (eksempelvis sociale netværksplatforme og datacentertjenester)
  • Digitale tjenesteudbydere
  • Energiforsyning
  • Fremstilling af samfundskritiske produkter (eksempelvis medicin, lægemidler, medicinsk udstyr og kemikalier)
  • Fødevarer
  • Kommuner
  • Offentlig administration
  • Post- og kurertjenester
  • Regioner
  • Rumfart og tilsvarende virksomheder
  • Spildevand og affaldshåndtering
  • Staten
  • Sundhed
  • Transport
  • Udbydere af offentlige elektroniske kommunikationsnetværk eller -tjenester
  • Vandforsyning

Hvilke leverandører er omfattet af NIS2?

De NIS2-omfattede virksomheder er underlagt et krav, som har skabt meget forvirringen ude i det danske virksomhedslandskab, nemlig leverandørkrav. De underlagte virksomheder har nemlig også som krav, at alle virksomhedens leverandører skal følge en række sikkerhedskrav, for at virksomheden kan fortsætte med at gøre brug af dem. Hvis ikke leverandørerne lever op til de nye krav, står de til at blive fravalgt til fordel for virksomheder, som er NIS2-compliant.

NIS2-direktivet kommer som før nævnt til at omfatte en lang række brancher og institutioner. Er man leverandør til disse, vil der blive stillet krav til øget cybersikkerhed. Dette er krav, der skal sikre, at de omfattede virksomheder ikke kompromitteres, og at deres cyberforsvar ikke har huller grundet usikre leverandører.

Hvordan bliver man comliant med NIS2?

Det er en kompleks opgave at leve op til kravene i NIS2-direktivet. Det kræver både tilpasninger i den måde, virksomheden gennemfører forandringer på, samt justeringer af virksomhedens driftsrutiner. Virksomheden skal grundlæggende vende sig til, at cybersikkerhed fremadrettet skal indgå som del af ledelsesarbejdet og bliver en del af medarbejdernes dagligdag.

Fundamentet for en systematisk efterlevelse af NIS2-direktivet er et effektivt og sammenhængende ledelsessystem, der løbende sikrer, at ledelsen har et overblik over, hvordan informationssikkerhed håndteres i virksomheden, samt hvilke trusler, sårbarheder og risici, der knytter sig til den voksende cyberkriminalitet. Ovenpå dette fundament skal virksomheden tilpasse sin informationssikkerhedspolitik og implementere de nødvendige foranstaltninger i organisationen. Virksomheden skal vende sig til at udarbejde løbende risikovurderinger og at arbejde på en professionel måde med beskyttelse af informationsaktiver.

Compliance med NIS2-direktivet er ikke et projekt, som slutter i juli 2025. Det er helt afgørende, at NIS2-projektet leverer et ”system” bestående af politikker, processer og forskellige typer af dokumentation, der kan leve i organisationen – også efter juli 2025. For de fleste virksomheder kræver det et stærkt fokus på forandringsledelse gennem hele projektforløbet. Udover forandringsledelse bygger vores model på ’best practice’ fra informationssikkerhedsstandarderne ISO 27001, NIST, CIS Controls og den danske D-mærkning. Sammen med vores eksperter har vi udviklet en implementeringsmodel, der tager dig sikkert igennem alle hjørner af direktivets krav, og sikrer, at din organisation kan efterleve de nye regler. 

De 8 aktiviteter er: 

  1. Ledelses- og bestyrelsesbriefing
  2. GAP-analyse
  3. Workshops 
  4. Risikostyring og risikohåndtering
  5. Information Security Management System
  6. Dokumentation og vedligeholdelse
  7. Uddannelse af medarbejdere
  8. Forandringsledelse

Hvilke krav har NIS2 til din organisation?

NIS2 stiller helt nye krav til både mellemledere, topledelsen og bestyrelsen i din organisation. NIS2 kræver, at ledelseslagene har en udbredt viden omkring IT-sikkerhed, da de kommer til at stå på mål for eventuelle fejl.

Ifølge NIS2, artikel 20, stk. 2 er ledelseslaget forpligtiget til at være dybt engageret i styringen af cybersikkerhedskrav:

“Medlemsstaterne sikrer, at medlemmerne af væsentlige og vigtige enheders ledelsesorganer er forpligtet til at følge kurser, og skal tilskynde væsentlige og vigtige enheder til løbende at tilbyde tilsvarende kurser til deres ansatte således, at de opnår tilstrækkelige kundskaber og færdigheder til at kunne identificere risici og vurdere metoderne til styring af cybersikkerhedsrisici og deres indvirkning på de tjenester, der leveres af enheden”

Det betyder blandt andet, at ledelsen og bestyrelsen i NIS2-omfattede virksomheder og myndigheder skal:

  • Gennemgå og certificeres i et grundlæggende cybersikkerhedskursus
  • Være i stand til at kunne prioritere cybersikkerhed i virksomhedens operationer
  • At kunne uddanne medarbejdere i sikker håndtering af data og information
  • At evaluere effektiviteten af de cybersikkerhedstiltag, der igangsættes
  • At godkende risikoanalyse og risikohåndteringsplan
Allan von Staffeldt Beck
Har du spørgsmål?

Allan von Staffeldt Beck

+45 3118 2488
ab@changegroup.dk
Event

Webinar: Projektporteføljestyring anno 2025

Online - Teams 27. februar 2025

Henrik Hajslund fortæller, hvordan du sikrer, at din projektportefølje er klar til fremtiden.

ChangeGroup

Vil du være sælger, eller rådgiver som vi kalder det, i ChangeGroups Public-team?

04.02.2025

Vi søger ny rådgiver i ChangeGroups Public-team. Kontakt os i dag, hvis du mener, at det er dig, vi går og mangler.

ChangeGroup

Er du næste vækstgear i ChangeGroups udbudsteam?

04.02.2025

ChangeGroups offentlige forretning vokser, og vi søger derfor hjælp til vores udbudsteam. Læs om stillingen og ansøg her

Kursus

PECBs kursus i NIS2 Foundation (Vejle)

The Note 24.-25. april 2025

PECBs kursus giver dig en introduktion til NIS2-direktivet med det formål at styrke din organisations cybersikkerhed.

IT-sikkerhed og compliance

NIS2 implementering

Vi hjælper med at håndtere alle hjørner af EU's kommende cybersikkerhedsdirektiv, NIS2.

IT-sikkerhed og compliance

NIS2 ledelsesforløb

EU's nye lovkrav NIS2 kræver, at ledelsen og bestyrelsen skal have styr på cybersikkerheden i virksomheden.

IT-sikkerhed og compliance

NIS2 ledelsesbrief

Vi har designet et NIS2-ledelsesbrief, som giver ledelse og bestyrelse en solid forståelse af kravene i NIS2