EU har i mange år forsøgt at styrke cybersikkerheden og beskytte digitale tjenester, netværksinfrastruktur og kritisk information mod cybertrusler i europæisk regi via sikkerhedsdirektiver, og det største af direktiverne har været NIS1, som blev besluttet i 2016.
NIS2-direktivet har – ligesom sin foregænger – til formål at bekæmpe, beskytte og styrke følgende fem områder:
Stigende cybertrusler:
Cybertruslen er steget eksplosivt under corona-pandemien, og i dag anslåes det, at cyberkriminalitet er verdens største kriminalitetsform, som overhaler narkokriminalitet med flere længer. Der har derfor været et stigende behov for at etablere stadig mere komplekse fælles standarder og foranstaltninger for at imødegå disse trusler på tværs af medlemsstaterne.
Beskyttelse af kritisk infrastruktur:
Mange sektorer, såsom energi, transport, sundhed og finans, er i dag dybt afhængige af digitale systemer og netværk. Et angreb på disse systemer kan have alvorlige konsekvenser for landets samfund og for økonomien, og de er derfor essentielle at beskytte. Både NIS1 og NIS2 har til formål at minimere risikoen for nedbrud eller skader.
Styrkelse af EU’s digitale marked:
Ved at etablere fælles standarder og regler for cybersikkerhed kan EU bidrage til at skabe tillid og sikkerhed på tværs af medlemslandene. Dette kan fremme det digitale marked.
Hændelseshåndtering og responsplan:
Begge IT-sikkerhedsdirektiver indebærer krav om oprettelse af procedurer til hændelseshåndtering og responsplaner i tilfælde af, at hackerne alligevel får kæmpet sig igennem en virksomheds IT-sikkerhed. Det er med til at sikre, at virksomheden kan reagere hurtigt og effektivt på et cyberangreb og derved minimere skaderne.
Styrkelse af samarbejde:
NIS1 og NIS2 har begge haft til formål at styrke samarbejde mellem medlemslandene og myndighederne for netværks- og informationssikkerhed. Dette samarbejde kan bidrage til at udveksle information og at koordinere indsatsen for at tackle cybertrusler – også i forbindelse med online krigsførelse.
Ultimativt er europæiske IT-sikkerhedsdirektivers formål at kæmpe for et mere sikkert digitalt miljø for de europæiske borgere, og nationalt at beskytte den kritiske infrastruktur. Hertil er direktiverne med til at beskytte borgernes og virksomhedernes data.
Hvad er NIS2?
EU’s NIS2-direktiv står for “Network and Information Systems Directive”, hvilket på dansk oversættes til “Netværks- og Informationssystemer Direktivet”. I 2016 udkom NIS1-direktivet, som er forgængeren til det nye NIS2-direktiv. NIS2-direktivet blev vedtaget af Den Europæiske Union og medlemslandene i 2022 for at øge de fælles sikkerhedsstandarder for netværks- og informationssystemer på tværs af medlemslandene blandt andet ved at indføre hårdtslående sanktioner. Medlemslandene har fået 21 måneder til at blive NIS2-compliant, og det vil sige, at de danske virksomheder skal have styr på alle kravene i NIS2 inden juli 2025.
Nogle af de centrale elementer i NIS2-direktivet inkluderer:
Krav til sikkerhedsforanstaltninger:
Organisationer, der er omfattet af direktivet, skal implementere passende tekniske og organisatoriske foranstaltninger for at beskytte deres netværks- og informationssystemer mod cyberrisici.
Hændelseshåndtering:
Organisationer skal etablere procedurer til håndtering af cyberhændelser og til at informere de nationale myndigheder, hvis der sker alvorlige sikkerhedsbrud.
Myndigheder og samarbejde:
Medlemsstaterne skal etablere nationale myndigheder for netværks- og informationssikkerhed og fremme samarbejde og informationsskift på tværs af medlemsstaterne.
Sanktioner:
Medlemsstaterne skal fastsætte sanktioner for overtrædelser af direktivet, og det spåes at bøderne kan være op mod 4% af den samlende omsætning.
Du kan læse den nyeste udvikling om NIS2-direktivet på EU Kommisionens hjemmeside her
Hvem er omfattet af NIS2?
Den danske udgave af det europæiske direktiv ligger endnu ikke klar, og derfor er der stadigvæk nogle ubesvarede spørgsmål omkring visse brancher, men vi ved, at følgende brancher og institutioner vil blive omfattet NIS2:
- Bank- og finansmarkedsinfrastruktur
- Digital infrastruktur
- Digitale tjenester (eksempelvis sociale netværksplatforme og datacentertjenester)
- Digitale tjenesteudbydere
- Energi
- Fremstilling af samfundskritiske produkter (eksempelvis medicin, lægemidler, medicinsk udstyr og kemikalier)
- Fødevarer
- Offentlig administration
- Post- og kurertjenester
- Rumfart og tilsvarende virksomheder
- Spildevand og affaldshåndtering
- Sundhed
- Transport
- Udbydere af offentlige elektroniske kommunikationsnetværk eller -tjenester
- Vandforsyning
Skal du have hjælp til at blive NIS2 compliant inden juli 2025? Se hvordan vi kan hjælpe dig HER
Hvilke leverandører er omfattet af NIS2?
De NIS2-omfattede virksomheder er underlagt et krav, som har skabt meget forvirringen ude i det danske virksomhedslandskab. Nemlig leverandørkravene. De underlagte virksomheder har nemlig også som krav, at alle virksomhedens leverandører skal følge en række sikkerhedskrav for, at virksomheden kan fortsætte med at gøre brug af dem. Hvis ikke leverandørerne lever op til de nye krav, så står de til at blive fravalgt til fordel for virksomheder, som er NIS2-compliant.
NIS2-direktivet kommer blandt andet til at omfatte en række store og centrale virksomheder inden for energiforsyning, transport, medicinal, affald, digitale tjenester, etc., samt stort set alle offentlige myndigheder, stat, regioner og kommuner.
Er man leverandør til disse brancher, så vil der blive stillet krav om øget og struktureret cybersikkerhed. Krav der skal sikre, at de omfattede virksomheder ikke kompromitteres, og at deres cyberforsvar ikke har huller grundet usikre leverandører.
Hvordan bliver man NIS2 compliant?
Det er en kompleks opgave at leve op til kravene i NIS2-direktivet. Det kræver både tilpasninger i den måde virksomheden gennemfører forandringer på, samt justeringer af virksomhedens driftsrutiner – hertil stor viden og erfaring med cybersikkerhed. Virksomheden skal grundlæggende vende sig til, at cybersikkerhed fremadrettet skal indgå som del af ledelsesarbejdet og bliver en del af medarbejdernes dagligdag.
Fundamentet for en systematisk efterlevelse af NIS2-direktivet er et effektivt og sammenhængende ledelsessystem, der løbende sikrer, at ledelsen har et overblik over, hvordan informationssikkerhed håndteres i virksomheden samt, hvilke trusler, sårbarheder og risici, der knytter sig til den voksende cyberkriminalitet. Ovenpå dette fundament skal virksomheden tilpasse sin informationssikkerhedspolitik og implementere de nødvendige foranstaltninger i organisationen. Virksomheden skal vende sig til at udarbejde løbende risikovurderinger og at arbejde på en professionel måde med beskyttelse af informationsaktiver.
Compliance med NIS2-direktivet er ikke et projekt, som slutter i juli 2025. Det er helt afgørende, at NIS2-projektet leverer et ”system” bestående af politikker, processer og forskellige typer af dokumentation, der kan ”leve” i organisationen – også efter juli 2025. For de fleste virksomheder kræver det et stærkt fokus på forandringsledelse gennem hele projektforløbet. Udover forandringsledelse bygger vores model på ’best practice’ fra informationssikkerhedsstandarderne ISO 27001, NIST, CIS Controls og den danske D-mærkning. Sammen med vores eksperter har vi udviklet en implementeringsmodel, der tager dig sikkert igennem alle hjørner af direktivets krav og sikrer, at din organisation kan efterleve de nye regler.
De 8 aktiviteter er:
- Ledelses- og bestyrelsesbriefing
- GAP-analyse
- Workshops
- Risikostyring og risikohåndtering
- Information Security Management System
- Dokumentation og vedligeholdelse
- Uddannelse af medarbejdere
- Forandringsledelse
Hvilke krav har NIS2 til din organisation?
NIS2 stiller helt nye krav til ledelseslagene i din organisation, og det er både mellemledere, topledelsen og bestyrelsen. NIS2 kræver, at ledelseslagene har en udbredt viden omkring IT-sikkerhed, da de kommer til at stå på mål for eventuelle fejl.
Ifølge NIS2, artikel 20, stk 2 er ledelseslaget forpligtiget til at være dybt engageret i styringen af cybersikkerhedskrav:
“Medlemsstaterne sikrer, at medlemmerne af væsentlige og vigtige enheders ledelsesorganer er forpligtet til at følge kurser, og skal tilskynde væsentlige og vigtige enheder til løbende at tilbyde tilsvarende kurser til deres ansatte således, at de opnår tilstrækkelige kundskaber og færdigheder til at kunne identificere risici og vurdere metoderne til styring af cybersikkerhedsrisici og deres indvirkning på de tjenester, der leveres af enheden”
Det betyder blandt andet, at ledelsen og bestyrelsen i NIS2-omfattede virksomheder og myndigheder skal:
- Gennemgå og certificeres i et grundlæggende cybersikkerhedskursus
- Være i stand til at kunne prioritere cybersikkerhed i virksomhedens operationer
- At kunne uddanne medarbejdere i sikker håndtering med data og information
- At evaluere effektiviteten af de cybersikkerhedstiltag der igangsættes
- At godkende risikoanalyse og risikohåndteringsplan
Se vores NIS2-ydelse målrettet compliance for bestyrelser og ledelseslager her