Er Din Virksomhed Forberedt NIS2

07. marts 2023

Er din virksomhed forberedt på NIS2?

Har I gjort jer tanker om NIS2?

Cyberangreb er desværre et stigende problem i EU. Derfor vedtog EU-Parlamentet i november 2022 NIS2-direktivet, som pålægger virksomheder nye og væsentlige regler for cybersikkerhed.

NIS2 skal beskytte infrastruktur, der er væsentlig for samfundet, mod cybertrusler.

Hvad er NIS2 – Netværk- og informationssystemer?

NIS2 er et EU-direktiv, der dækker alle medlemslande og skal sikre et højt fælles niveau af cybersikkerhed på tværs af den europæiske union.

Formålet med NIS2 er at forbedre den kritiske it-infrastruktur til et niveau, der er tidssvarende med nutidens risiko og trusselsbillede.

NIS2 eskalerer lovgivning, sanktioner og krav til cybersikkerhed for at strømline cybersikkerheds-niveauet på tværs af EU's medlemslande. NIS2 udvider også de omfattede virksomheder væsentligt i forhold til den eksisterende NIS.

Direktivet kommer til at regulere, via national lovgivning, virksomheder på cybersikkerhed og opstiller en del minimumskrav til virksomheder i forhold til kontrol, uddannelse, dokumentation og processer.

Den eksakte form vi vil se i Danmark er endnu ikke færdigdefineret - de overordnede linjer er dog tegnet, og det anbefales, at du allerede nu går i gang.

Direktivet træder i kraft oktober 2024.

JCDs erfaringer og viden om NIS2

JCDs erfaring viser, at du ikke kan komme for tidligt i gang, og at dansk lovgivning ofte lægger sig op af EUs lovgivningen.

Det forventes, at virksomheder indenfor nedenstående erhverv og brancher med over 50 ansatte og en omsætning på 75 mio. DKK er underlagt.

 

Væsentlige enheder omfatter de her brancher og erhverv:

  • Transport (luft, tog, vej og vand)
  • Energi (salg og distribution af elektricitet, fjernvarme, olie, gas og brint)
  • Bankvirksomhed og finansielle markedsinfrastrukturer
  • Sundhedssektoren
  • Digital infrastruktur (bl.a. udbydere af cloud ydelser, datacentre, domænenavnssystemer (DNS), udbydere af managed services og managed security services)
  • Drikke- og spildevand
  • Offentlig forvaltning
  • Rummet

 

Vigtige enheder omfatter de her brancher og erhverv:

  • Post- og kurertjenester
  • Affaldshåndtering
  • Kemikalier (fremstilling, produktion og distribution)
  • Fødevarer (fremstilling, bearbejdning og distribution)
  • Fremstilling af bl.a. medicin, elektronik, maskiner og køretøjer
  • Udbydere af digitale tjenester (onlinemarkedspladser og søgemaskiner og sociale netværkstjenester)
  • Forskning

 

Hertil skal det nævnes, at underleverandører til erhvervene også kan være underlagt EU-direktivet. Ligeledes kan virksomheder med færre ansatte og omsætning også være underlagte, hvis de er særligt kritiske indenfor infrastruktur.

Der introduceres også nye sanktionsmuligheder og rapporteringsforpligtelser. Desuden ønsker EU, at cybersikkerhed skal helt op i topledelsen, og derfor pålægges sanktioner ikke længere udelukkende virksomheden men også ledende medarbejdere personligt. Der stilles krav til forankring af it-sikkerhed i ledelsen og kendskab til NIS2 krav og it-sikkerheden.

De 10 minimumskrav i NIS2

  1. Risikoanalyser og sikkerhedspolitik for informationssikkerhed.
  2. Hændelseshåndtering.
  3. Krisehåndtering og styring.
  4. Værdikæde og forsyningssikkerhed for leverandører af både hardware og services.
  5. Politikker og procedurer relateret til kryptografi og kryptering.
  6. Sikkerhed i forbindelse med anskaffelse, udvikling og vedligeholdelse af netværk og
  7. informationssystemer, sårbarhedshåndtering og offentliggørelse.
  8. Politik og procedure for at vurdere effektiviteten af pågældende sikkerhedstiltag.
  9. HR–sikkerhed og regler for adgangskontrol.
  10. Anvendelse af multifaktorautentifikation eller kontinuerlige autentifikations-løsninger.
  11. Grundlæggende computersikkerhed og uddannelse i cybersikkerhed.


Download hele fakta-arket her

Sådan kommer du i gang med NIS2

Du kan allerede gå i gang med det samme, hvis der er chance for, at din virksomhed er omfattet af direktivet.

Selv hvis din virksomhed ikke er omfattet af direktivet, er det en god idé at forbedre og kigge sin cybersikkerhed efter i sømmene.

Det kan du konkret gøre:

  • Få lavet en risikovurdering
  • Udform en GAP analyse mellem nuværende it- og OT-sikkerhed og den ønskede sikkerhed/NIS2
  • Involver ledelsen fra starten – NIS2 er tværfaglig og involverer som minimum jura, it og forretning.


Kilde: Den europæiske kommission.

Vil du høre mere om dine IT-muligheder?

Skriv dig op i formularen, så bliver du kontaktet af JCDs specialister hurtigst muligt.

Bliv kontaktet

For at vi kan kontakte dig, er vi nødt til at gemme og behandle dine oplysninger. Du kan altid bede om indsigt i, hvilke data vi opbevarer om dig, ligesom du kan bede om at få dem slettet. Læs vores privatlivspolitik.

Måske du er interesseret i en anden artikel?