Hvad Er NIS2 direktivet, Og Hvordan Vil Det Påvirke Din Organisation?
NIS2 (Network and Information Security) -direktivet er EU’s seneste politik, der har til formål at forbedre medlemslandenes kollektive IT-sikkerhed. Den trådte i kraft i januar 2023, og alle relevante organisationer forventes at overholde de nye krav fra den 18. oktober 2024. NIS2-direktivet vil sikre, at alle organisationer, der tjener en væsentlig funktion i samfundet, har et højt IT-sikkerhedsniveau.
I dette indlæg giver vi en opsummering af NIS2 direktivet. Vi diskuterer også, hvad NIS2 er for en størrelse, hvilke slags organisationer det gælder for, samt de nye sikkerhedskrav som organisationerne skal opfylde, og hvordan det vil blive håndhævet. Vi giver dig også fire trin til at hjælpe dig i gang med dit NIS2-arbejde. Her er, hvad det hele handler om, om det gælder for din organisation, og hvad du bør gøre, hvis det gør.
Indholdsfortegnelse
- Opdateringer fra regeringen og væsentlige aktører
- Hvad er NIS2?
- Hvorfor NIS2 blev udviklet
- Omfatter NIS2 din organisation?
- Enheder af særlig kritisk betydning i NIS2 direktivet
- Andre kritiske enheder der er omfattet af NIS2-direktivet
- Væsentlige og Vigtige enheder ifølge NIS2
- Hvad hvis min organisation ikke er lokaliseret i EU?
- Hvad hvis NIS2 direktivet ikke gælder for mig?
- NIS2 direktivet har tre overordnede mål
- Der er 4 områder med nye krav i NIS2-direktivet
- NIS2 krav
- Så hvad betyder NIS2 for din organisation?
- Vores anbefalinger til din organisation
- Awareness-træning I NIS2 direktivet
- Cyberhygiejne I NIS2 direktivet
Inden vi springer ud i selve blogpostet, så kommer her lidt opdateringer fra året om, hvorhenne vi er den dag i dag.
Opdatering august 2024
Folketinget er nu kommet med nye og flere informationer om NIS2. Men, det bliver ikke ultra konkret endnu, så vi må stadig være tålmodige.
Her er dog, hvad der er nyt.
Hvornår bliver NIS2 implementeret og hvem er indbefattet?
Folketinget forventer NIS2 implementering i marts 2024.
Mange har spurgt om, hvem der er indbefattet af NIS2. Nu ved vi, at universiteter og regioner er indenfor scopet. Nogle kommuner er også, men tilsyneladene ikke alle. Hvis kommuner agerer som "sundhedsudbyder", leverer offentlige elektroniske netværk eller services eller er mere end 50 medarbejdere, så er de indbefattet. Det må altså være langt de fleste kommuner og kun de allermindste, der ikke er.
Hvert enkelt ministerie kommer med konkret guidance og krav
Det bliver op til hver ministerie at lave konkrete råd og krav, når det kommer til NIS2. F.eks. vil finansministeriet inkorporere NIS2 og DORA i deres lovgivning.
Vil du gerne have en lidt mere generel tilgang, kan du kigge mod EU, som har udgivet et bud på risikohåndtering og rapportering for digital infrastruktur, udbydere og ICT managers.
I Danmark bliver Center for Cybersikkerhed ansvarlig for at koordinere og holde øje med implementeringen af NIS2 i samarbejde med de forskellige ministerier i de berørte sektorere.
Personlige straf er sidste udvej
NIS2 åbner op for, at ledelsen kan blive supsenderet og få straf, hvis kravene ikke blive underholdt. Det nye udlæg fra Folketinget understreger, at dette kun bliver brugt som sidste udvej, og at en suspendering bliver ophævet, når virksomheden har gjort de nødvendige tiltag.
Lidt generelle kommentarer fra opdateringen
Folketinget anbefaler, at den risikobaserede tilgang er en "All-hazard-approach", hvilket betyder, at det skal inkludere alle type trusler f.eks. ogsåfysiske trusler (oversvømmelse, brand). De anbefaler også at inkludere risk-management measures i kontrakter med direkte udbydere.
Folketinger ligger også fokus på generel IT-sikkerheds awareness, hygiejne og færdigheder for alle i ens organisationer (host, awareness-træning), og at selv SME'er bør kigge imod NIS2, selvom de ikke er direkte involverede.
Og hvad er god hygiejne. Det er alt det, vi råber højt om:
- Hav styr på politikker og retningslinjer
- Software og hardware opdateringer
- Lange stærke passwords og multi-faktor
- Backup
- Etc., etc.,
Opdatering februar 2024: NIS2-regler bliver forsinket
Implementeringen af NIS2 skulle træde i kraft d. 17 oktober 2024. Men regeringen har meldt ud, at den danske implementering bliver forsinket. Det var meningen, at regeringen skulle mødes i første kvartal, men det er blevet udskudt til oktober. Dermed når Danmark selvsagt ikke at blive klar til oktober. Det betyder også, at deadline for danske virksomheder og orgnisationer bliver udskudt (nu hedder det i slutningen af 2024, men vi må vente og se)
Der kommer måske seperate regler tidligere for nogle af de vigtigste sektorer som tele-, energi- og finanssektorerne. De er dog allerede meget regulerede og bør kunne leve op til reglerne, der kommer.
Hvad er NIS2 direktivet?
NIS2 direktivet er en ny EU-politik, som alle medlemslande og organisationer, der leverer tjenester indenfor EU, aktivt skal overholde senest d. 18. oktober 2024. NIS2 direktivets formål er at beskytte organisationer imod IT-trusler, især for de organisationer, som håndterer samfundskritisk infrastruktur og funktioner. Grunden til at beskytte netop de organisationer er for, at højne den generelle IT-sikkerhed i hele EU.
For at nå dette mål fokuserer NIS2 på organisationer, som varetager væsentlige samfundsfunktioner.
Disse organisationer er typisk nogen som samfundet er afhængigt af, for at kunne fungere optimalt. Det betyder, at enhver forstyrrelse af disse organisationer kan have stor og alvorlig indvirkning på f.eks. økonomiske aktiviteter eller folkesundheden i EU.
NIS2 indeholder altså skærpede krav for sikkerhed, nye og strengere rapporteringsindberetninger, samt strengere håndhævelseskrav for flere organisationer end det første NIS-direktiv.
Kort sagt er det altså nye sikkerhedskrav til de virksomheder og organisationer, som vi er allermest afhængige af.
Organisationer inkluderet i NIS2-direktivet omfatter virksomheder og organisationer, der leverer tjenester, som er afgørende for samfundsmæssige og økonomiske aktiviteter
Hvorfor NIS2 blev udviklet
Vi ved godt, at du nok ikke kan vente med at dykke ned i alt det nye med NIS2.
Men inden det...
Så synes vi, at vi skal starte med lidt information om, hvorfor det nye direktiv er blevet udviklet.
EU’s første IT-sikkerhedspolitik, NIS-direktivet, der trådte i kraft i 2016, trængte til en opdatering i kølvandet på nye IT-sikkerhedstrusler. Under COVID-19 pandemien oplevede verden en stigning i IT-angreb, hvilket fik Europa-Kommissionen til at foreslå et nyt og forbedret NIS2-direktiv.
NIS2 vil udfylde hullerne i det oprindelige NIS-direktiv ved at udvide omfanget af kritiske tjenesteudbydere, styrke sikkerhedskravene i disse organisationer, adressere forsyningskædesikkerhed og øge rapporteringsforpligtelser og -håndhævelse.
I oktober 2024, vil NIS2 erstatte det originale NIS-direktiv med en mere omfattende politik for at styrke IT-sikkerheden og modstandskraften hos væsentlige tjenesteudbydere i EU. Målet er, at det vil forberede organisationer til at håndtere både nutidens og fremtidens cybertrusler.
NIS2 vil erstatte NIS-direktivet. Det vil medføre, at flere organisationer skal overholde strengere krav til IT-sikkerhed.
Omfatter NIS2 din organisation?
Det er det spørgsmål, som alle stiller.
Det gør den, hvis du arbejder i en af de sektorer, som det oprindelige NIS omfattede, eller en af de sektorer som er blevet føjet til listen i det nye NIS2.
Hvis du ikke er sikker, så bare rolig! Vi skal nok hjælpe dig med at finde ud af det i de næste sektioner.
Det oprindelige NIS-direktiv omfattede organisationer i følgende sektorer:
- Sundhed
- Digital infrastruktur
- Transport
- Vandforsyning
- Digitale tjenesteudbydere
- Bank- og finansmarkedsinfrastruktur
- Energi
Det nye NIS2-direktiv omfatter hele 18 forskellige sektorer med undersektorer
NIS2 bruger en masse forskellige udtryk og termer til at beskrive de sektorer, som det gælder for. Vi guider dig igennem hver af dem, en efter en.
Vi undlader alt den juridiske snak og fortæller dig kun, hvad du har brug for at vide.
Lad os starte med at se på de 18 forskellige sektorer, som NIS2 er gældende for.
NIS2-direktivet opdeler sektorerne i to forskellige kategorier: Sektorer med høj kritikalitet, og andre kritiske sektorer. Vi skal nok vende tilbage til, hvorfor disse kategorier betyder noget senere, men indtil da skal du bare holde øje med om din organisation er inkluderet, og hvor.
Enheder af særlig kritisk betydning i NIS2 direktivet
De følgende 11 sektorer omfattes og betragtes som yderst samfundskritiske i NIS2. For hver sektor har vi listet undersektorerne og hvad de inkluderer. Hvis du følger med i selve NIS2 direktivteksten, så står disse sektorer under Bilag 1. (Nederst i dokumentet).
1. Energi
Elektricitet
Inkluderer:
- Elektricitetsvirksomheder
- Distributionssystemoperatører
- Transmissionssystemoperatører
- Producenter
- Udvalgte elektricitetsmarkedsoperatører
- Markedsdeltagere der leverer tjenester, der vedrører aggregering, fleksibelt elforbrug eller energilagring
- Operatører af ladestationer, samt operatører der er ansvarlige for forvaltningen, samt driften af ladestationer, der leverer ladeydesler til slutbrugere. Dette inkluderer også tjenester udbudt på vegne af udbydere, via en mellemleverandør.
Fjernvarme og fjernkøling
Inkluderer operatører af fjernvarme eller fjernkølingOlie
inkluderer:- Olierørledningsoperatører
- Operatører af olieproduktionsanlæg, -raffinaderier og -behandlingsanlæg, olielagre og olietransmission
- Centrale lagerenheder
Gas
Inkluderer:
- Forsyningsvirksomheder
- Distributionssystemoperatører
- Transmissionssystemoperatører
- Lagersystemoperatører
- LNG-systemoperatører
- Naturgasvirksomheder
- Operatører af naturgasraffinaderier og -behandlingsanlæg
Brint
Inkluderer operatører inden for brintproduktion, -lagring og -transmission
2. Transport
Luft
Inkluderer:- Luftfartsselskaber der anvendes til kommercielle formål
- Lufthavnsdriftsorganer og enheder med tilknyttede anlæg i lufthavne
- Trafikledelses- og kontroloperatører, der udøver flyvekontroltjenester
Jernbane
Inkluderer:
- Infrastrukturforvaltere
- Jernbanevirksomheder, herunder operatører af servicefaciliteter
Vand
Inkluderer:
- Rederier, som udfører passager- og godstransport ad indre vandveje, i højsøfarvand eller kystnært farvand, bortset fra de enkelte fartøjer, som drives af disse rederier
- Driftsorganer i havne herunder deres havnefaciliteter, og enheder, der opererer anlæg og udstyr i havne
- Operatører af skibstrafiktjenester
Vej
Inkluderer:
- Vejmyndigheder, der er ansvarlige for trafikledelse, med undtagelse af offentlige enheder, for hvilke trafikledelse eller drift af intelligente transportsystemer er en ikkevæsentlig del af deres generelle aktivitet
- Operatører af intelligente transportsystemer
3. Bankvirksomheder
Inkluderer kreditinstitutter
4. Finansielle markedsinfrastrukturer
Inkluderer:- Operatører af markedspladser
- Centrale modparter (CCP'er)
5. Sundhed
Inkluderer:
- Sundhedstjenesteydere
- EU-referencelaboratorier
- Enheder, der udfører forsknings- og udviklingsaktiviteter vedrørende lægemidler
- Enheder, der fremstiller farmaceutiske råvarer og farmaceutiske præparater, som omhandlet i hovedafdeling
- Enheder, som fremstiller medicinsk udstyr, som den anser for at være kritisk i en folkesundhedsmæssig krisesituation
6. Drikkevand
Inkluderer leverandører og distributører af drikkevand. Dette inkluderer dog ikke distributører, for hvilke distribuering af drikkevand er en ikkevæsentlig del af deres generelle aktivitet med distribuering af andre råvarer og varer.
7. Spildevand
Inkluderer virksomheder der indsamler, bortskaffer eller behandler byspildevand, husspildevand eller industrispildevand. Dette inkluderer dog ikke virksomheder, for hvilke indsamling, bortskaffelse eller behandling af byspildevand, husspildevand eller industrispildevand er en ikke-væsentlig del af deres generelle aktivitet.
8. Digital infrastruktur
Inkluderer:- Udbydere af internetudvekslingspunkter
- DNS-tjenesteudbydere, bortset fra operatører af rodnavneservere
- Topdomænenavneadministratorer
- Udbydere af cloud-computing-tjenester
- Udbydere af datacentertjenester
- Udbydere af indholdsleveringsnetværk
- Tillidstjenesteudbydere
- Udbydere af offentlige elektroniske kommunikationsnet
- Udbydere af offentligt tilgængelige elektroniske kommunikationstjenester
9. Forvaltning af IKT-tjenester (business-to-business)
Inkluderer:- Udbydere af administrerede tjenester
- Udbydere af administrerede sikkerhedstjenester
10. Offentlig forvaltning
Inkluderer:- Offentlige forvaltningsenheder under central forvaltning
- Offentlige forvaltningsenheder på regionalt plan
- Medlemsstater kan anvende NIS2 på: (a) offentlige administrationsorganer på lokalt niveau; (b) uddannelsesinstitutioner, især når de udfører kritiske forskningsaktiviteter
- Anvendes ikke på offentlige administrationsorganer, der udfører deres aktiviteter indenfor national sikkerhed, offentlig sikkerhed, forsvar eller retshåndhævelse, herunder forebyggelse, efterforskning, opdagelse og retsforfølgelse af kriminelle overtrædelser
11. Rumnet
Inkluderer operatører af jordbaseret infrastruktur, der ejes, forvaltes og drives af medlemsstater eller private parter, og som understøtter levering af rumbaserede tjenester, undtagen udbydere af offentlige elektroniske kommunikationsnetNu vil vi se på de andre kritiske sektorer, der er anført i NIS2. Hvis din organisation befinder sig i en sektor ovenfor, så bliver den ikke nævnt igen.
Andre kritiske enheder der er omfattet af NIS2-direktivet
NIS2-direktivet definerer 7 andre kritiske sektorer og tilhørende enheder. Her er de nedenfor sammen med de forskellige undersektorer og beskrivelser af, hvad undersektorerne omfatter. For øvrigt hører disse til under Bilag 2. i NIS2-direktivt, hvis du gerne vil opfriske din juridiske jargon.
1. Post- og kurertjenester
Inkluderer: postbefordrende virksomheder, herunder udbydere af kurertjenester.
2. Affaldshåndtering
Inkluderer: Virksomheder, der varetager affaldshåndtering, bortset fra virksomheder, for hvilke affaldshåndtering ikke er deres vigtigste økonomiske aktivitet.
3. Fremstilling, produktion og distribution af kemikalier
Inkluderer: Virksomheder, der beskæftiger sig med fremstilling af stoffer og distribution af stoffer eller blandinger, samt virksomheder der beskæftiger sig med produktion af artikler ud af stoffer eller blandinger.
4. Produktion, forarbejdning og distribution af fødevarer
Inkluderer: Fødevarevirksomheder der beskæftiger sig med engrosdistribution og industriel produktion og tilvirkning.
5. Fremstilling
Inkluderer:
- Fremstilling af medicinsk udstyr og medicinsk udstyr til in-vitro-diagnostik
- Fremstilling af computere, elektroniske og optiske produkter
- Fremstilling af elektrisk udstyr
- Fremstilling af maskiner og udstyr i.a.n.
- Fremstilling af motorkøretøjer, påhængsvogne og sættevogne
- Fremstilling af andre transportmidler
6. Digitale udbydere
Inkluderer:- Udbydere af online markedspladser
- Udbydere af onlinesøgemaskiner
- Udbydere af platforme for sociale netværkstjenester
7. Forskning
Inkluderer: Forskningsorganisationer – hvilket betyder en enhed, hvis primære mål er at udføre anvendt forskning eller udvikling med henblik på at udnytte resultaterne af denne forskning til kommercielle formål, men som ikke indbefatter uddannelsesinstitutioner.
Så hvis din organisation befinder sig indenfor en af sektorerne nævnt ovenfor, uanset om den er i den særligt kritiske eller andre kritiske kategorier, så gælder NIS2 måske for dig
Så hvad nu?
Fyld din kaffekop op og følg med, vi er slet ikke færdige endnu!
Nu er det tid til at snakke om de to forskellige kategorier af organisationer indenfor NIS2-direktivet.
Væsentlige og Vigtige enheder ifølge NIS2
Nu tilføjer vi endnu et lag af kategorier. NIS2 definerer to kategorier af enheder i omfanget: vigtige og væsentlige.
Det er i alt fire forskellige kategorier... Men hvem tæller egentligt?
Organisationerne i begge kategorier skal opfylde de samme sikkerhedskrav.
Forskellen ligger i, hvordan vigtige og væsentlige organisationer bliver overvåget og straffet for manglende compliance.
For at finde ud af, om din organisation anses som væsentlig eller vigtig, kommer for det meste an på størrelsen.
Vi giver dig detaljerne nu!
Væsentlige enheder
- Organisationer i særligt kritiske sektorer (se ovenfor) med mere end 250 ansatte, en årlig omsætning på mere end €50 millioner eller balance større end €43 millioner
- Uanset størrelse: tillidstjenesteudbydere, topdomænenavneadministratorer og DNS-tjenesteudbydere
- Udbydere af offentlige elektroniske kommunikationsnetværk eller af offentligt tilgængelige elektroniske kommunikationstjenester med 50-250 ansatte eller mere end € 10 mio. i omsætning
- Offentlige forvaltningsenheder
- Enhver anden meget vigtig organisation, der er den eneste udbyder af tjenesten i landet eller, hvor afbrydelse af deres tjeneste, kan have en betydelig indvirkning
Væsentlige organisationer kan overvåges proaktivt for at sikre, at de opfylder kravene i NIS2-direktivet.
Vigtige enheder
Vigtige enheder er egentlig bare dem der er tilbage, som ikke anses, som værende væsentlige.
- Alle andre særligt kritiske, eller andre kritiske organisationer, der ikke passer til kvalifikationerne for væsentlige enheder.
I praksis betyder det, at organisationer indenfor de sektorer, der er omfattet af NIS2-direktivet (ovenfor), som er mellemstore eller mindre (færre end 250 ansatte eller har en årlig omsætning på under €50 mio. eller en balance på under €43 mio.).
Små (færre end 50 ansatte, omsætning på € 10 mio. eller mindre) og mikrovirksomheder (færre end 10 ansatte, omsætning på €2 mio. eller mindre) er ikke nødvendigvis udelukket fra at overholde NIS2. De lande de opererer i, kan inkludere dem, hvis deres tjenester spiller en central rolle i samfundet.
Vigtige organisationer overvåges "efter kendsgerningen", hvilket betyder, at de kun vil blive undersøgt, hvis myndighederne modtager beviser for manglende overholdelse.
Puha – den svære del er forbi nu. Tak for at du stadig hænger i!
Nu hvor vi har fået alle de komplicerede NIS2-detaljer af vejen, så det på tide til at dykke ned i, hvad NIS2 egentlig betyder for dig.
Hvad hvis min organisation ikke er lokaliseret i EU?
Ikke i EU, ikke dit problem? Du kan godt tro om.
Selv, hvis din organisation ikke er lokaliseret i EU, men tilbyder tjenester indenfor EUs grænser, så skal du overholde NIS2 direktivet.
NIS2 giver os nogle regler om, hvordan ikke-EU-organisationer burde fortsætte.
Den siger, at ikke-EU-enheder der tilbyder tjenester indenfor EU skal udpege en EU-repræsentant indenfor et af de lande, hvor enhedens tjenester bliver udbudt. Repræsentanten er derfra ansvarlig for at styre organisationens compliance-arbejde ift. NIS2, såsom at rapportere sikkerhedshændelser.
Hvad hvis NIS2 direktivet ikke gælder for mig?
Hvis det, efter at have læst gennem de forskellige sektorer og størrelsesbegrænsningerne ovenfor, ser ud til, at din organisation ikke er forpligtet til at overholde NIS2 - Så bare rolig.
Du skal ikke bekymre dig om nogle umiddelbare bøder, eller skridt du skal tage for at opnå compliance.
Men du burde måske overveje at opbygge dit sikkerhedsarbejde, så det overholder direktivet alligevel. Det kan der altså godt være et par gode grunde til.
- NIS2 opfordrer lande til at sikre, at selv de organisationer, der ikke er omfattet af direktivet, opnår et højt niveau af cybersikkerhed ved at implementere de samme risikostyringsforanstaltninger
- Omfanget af organisationer NIS2 gælder for er bredt, og disse organisationer skal sørge for, at deres leverandører også er sikre. Så mange virksomheder vil ende med at skulle overholde NIS2-direktivet, fordi en virksomhed, de arbejder med, også gør det
Helt grundlæggende ser det ud til, at risikostyringen og IT-sikkerhedsforanstaltningerne i NIS2 hurtigt vil den nye standard.
Ved proaktivt at tilpasse din sikkerhed til at inkludere de 10 minimumssikkerhedsforanstaltninger i NIS2, gør du det nemt for andre virksomheder at samarbejde med dig. Du kan også signalere til dine kunder, at du bruger sikker praksis, og at de derved kan stole på dig.
Så nu hvor du har en idé om, hvorvidt NIS2 gælder for din organisation...
Lad os nu tale om alt, hvad organisationer skal gøre for at overholde direktivet.
Det vigtigste at vide er, at der er 10 sikkerhedskrav og tidslinjer for rapportering af sikkerhedshændelser.
Lad os dykke ned i det!
NIS2 direktivet har tre overordnede mål
NIS2's tre hovedmål er at øge IT-modstandsdygtigheden på tværs af væsentlige tjenesteudbydere, strømline modstandsdygtigheden gennem strengere sikkerhedskrav og sanktioner for overtrædelser og forbedre EU’s beredskab til at håndtere IT-angreb.
NIS2 håndterer dette med nye retningslinjer for ting, såsom sikkerhed og ansvarlighed
Der er 4 områder med nye krav i NIS2-direktivet
1. Risikostyring
I hele NIS2-direktivet er styring af IT-sikkerhedsrisici et centralt tema. NIS2 siger, at organisationer bør bruge en tilgang der omfatter alle farer, så man bedre kan håndtere risici, der kan komme. Disse kan f.eks. være menneskelige fejl, systemfejl, ondsindede aktører, naturkatastrofer, samt systemernes fysiske og miljømæssige sikkerhed.
2. Virksomhedens ansvar
NIS2 holder ledere på C-niveau for ansvarlige på nye måder. Direktivet kræver, at ledelsen overvåger, godkender, bliver trænet i, og adresserer risici for deres organisationers cybersikkerhed. Hvis de undlader at gøre det, kan de blive holdt personligt ansvarlige gennem foranstaltninger, såsom suspension fra lederstillinger.
3. Rapporteringsforpligtelser
Det nye direktiv har detaljerede krav for rapportering af sikkerhedsbrud, hvilket vi diskuterer senere her i blogindlægget. Men for nu, så er det altså godt at vide, at organisationer skal have processer på plads for hurtigt at kunne rapportere sikkerhedsbrud.
4. Forretnings kontinuitet
Da NIS2 gælder for udbydere af essentielle tjenester, er det vigtigt, at disse organisationer har planer for at holde deres tjenester kørende, hvis de nu oplever en større sikkerhedshændelse. F.eks. bør planen omfatte ting som systemgendannelse, nødprocedurer og oprettelse af et kriseberedskabsteam.
Så, nu kommer vi til det sjove! - Hvad NIS2 faktisk kræver, og hvad der kan ske, hvis du ikke overholder kravene.
NIS2 krav
NIS2-direktivet har krav til minimumssikkerhedsforanstaltninger, samt at organisationer skal have tidsplaner for rapportering af sikkerhedshændelser, og hvordan organisationer kan straffes, hvis de ikke overholder dette.
IT-sikkerhed: De 10 minimums sikkerhedsforanstaltninger krævet af NIS2
NIS2 siger, at organisationer skal tage passende og forholdsmæssige risikostyringsforanstaltninger for, at forhindre sikkerhedshændelser og minimere deres effekt.
Det giver altså en liste på 10 basislinjeforanstaltninger, som alle organisationer skal forholde sig til.
Gør din tjekliste klar og se, hvor mange du allerede har styr på!
- Politikker for risikoanalyse og informationssystemsikkerhed
- Hændelseshåndtering
- Forretningskontinuitet, såsom backup-styring, katastrofe-gendannelse og krisestyring
- Sikkerhed i forsyningskæden, herunder sikkerhedsrelaterede aspekter vedrørende forholdet mellem hver enhed og dens direkte leverandører eller tjenesteudbydere
- Sikkerhed i forbindelse med anskaffelse, udvikling og vedligeholdelse af netværk og informationssystemer, herunder sårbarhedshåndtering og fortrolighed
- Politikker og procedurer til at vurdere effektiviteten af risikostyringsforanstaltninger for cybersikkerhed
- Grundlæggende cyberhygiejnepraksisser og IT-sikkerhedstræning
- Politikker og procedurer vedrørende brugen af kryptografi, og hvor det er relevant, kryptering
- Personalesikkerhed, adgangskontrolpolitikker og asset management
- Brugen af multifaktorautentificering eller kontinuerlige autentificeringsløsninger, sikret stemme-, video- og tekstkommunikation og sikrede nødkommunikationssystemer indenfor enheden – hvor det er relevant
NIS2-direktivets tekst lægger vægt på god cyberhygiejnepraksisser og awareness om cybersikkerhed.
Nogle elementer af cyberhygiejne nævnt i NIS2-direktivet er: software- og hardwareopdateringer, adgangskodeændringer, håndtering af nye installationer, adgangskontrol og onlineapplikationssikkerhed.
Direktivet prioriterer også forsyningskædesikkerhed. Den siger, at virksomhederne skal skræddersy deres sikkerhedsforanstaltninger til enhver direkte leverandør og vurdere det overordnede sikkerhedsniveau for alle leverandører.
Heldigvis er de fleste af disse krav ikke nye, og mange virksomheder arbejder forhåbentlig allerede med disse områder. Det går også hånd i hånd med GDPR-arbejde, fordi disse er gode skridt i retning af at beskytte data.
Nye rapporteringskrav
Hvis du oplever en sikkerhedshændelse, skal du fortælle de rigtige personer det. NIS2-direktivet giver klare instruktioner for, hvordan organisationer skal rapportere sikkerhedshændelser.
- Inden for 24 timer efter, at du først er blevet opmærksom på en hændelse: Indsend en tidlig advarsel til CSIRT (Computer Security Incident Response Team) eller den nationale myndighed, såsom Datatilsynet. Hvis det er muligt, skal der stå, om det formodes, at hændelsen er forårsaget af ondsindet eller ulovlig adfærd, og om det vil have konsekvenser på tværs af landegrænser
- Indenfor 72 timer efter, at du først er blevet opmærksom på en hændelse: Indsend en hændelsesmeddelelse. Den bør give en opdatering til den tidlige advarsel, med en indledende vurdering af hændelsen, dens alvor og virkning, samt eventuelle indikatorer på kompromis
- Indenfor 1 måned efter, at du første gang er blevet opmærksom på en hændelse: Indsend en endelig rapport. Den skal have en detaljeret beskrivelse af hændelsen, herunder dens alvor og virkning; hvad forårsagede det; anvendte og igangværende afbødende foranstaltninger; og den grænseoverskridende virkning
Forhåbentlig behøver du ikke bruge denne del af vores NIS2-guide. Men det er her, hvis du har brug for det.
Højere sanktioner for NIS2 overtrædelser og øget overvågning
NIS2 direktivet mener det, ift. at sikre sig, at virksomheder følger reglerne.
Den har minimums økonomiske bøder, som anvendes, hvis en organisation ikke overholder sikkerhedsrisikostyringen eller rapporteringskravene for NIS2.
Væsentlige enheder kan få en bøde på minimum €10.000.000 eller 2% af deres globale årlige omsætning af det tidligere år, den der nu er højest. Det er den samme slags bøde, som man får for mindre GDPR-overtrædelser.
Vigtige enheder kan få en bøde på minimum €7.000.000 eller 1,4% af den samlede globale omsætning for det tidligere år, det som nu er højest.
Organisationer kan forvente at blive overvåget gennem revisioner, on-site inspektioner og anmodninger om information/dokumentation for NIS2 compliance. Hvis et NIS2 brud er fundet, kan den skyldige organisation modtage en bøde, en ikke-økonomisk bøde, såsom en complianceordre, eller at ledelsen kan blive holdt ansvarlig.
For det meste, så vil organisationer blive overvåget af det land, som organisationen befinder sig i - med visse undtagelser for organisationer indenfor den digitale-infrastruktursektor.
Så hvad betyder NIS2 for din organisation?
Organisationer indenfor sektorerne der er dækket af NIS2-direktivet vil blive holdt ansvarlig for at overholde de nye sikkerhedstiltag fra d. 18. oktober, 2024.
For nogle af sektorerne vil kommissionen udgive yderligere information om de tekniske krav d. 17. oktober, 2024.
Så, hvis din organisation er inkluderet i direktivets omfang, så er det altså en god idé at komme i gang nu.
Hvis din organisation ikke er inkluderet i sektorerne og størrelsesbegrænsningerne, som NIS2 direktivet forudsætter, så kan du godt slappe lidt af.
Du burde dog overveje om nogle af de virksomheder, som du arbejder med, skal overholde NIS2, og hvad det måske kan betyde for din organisation. Du burde nok også tænke over, hvordan du alligevel kan implementere de nye sikkerhedstiltag, da de vil give dig et forspring senere.
Vores anbefalinger til din organisation
Inden vi smutter, så vil vi gerne give dig fire skridt, som kan hjælpe dig i den rigtige retning med dit NIS2 arbejde.
Skridt 1: Find ud af om din organisation skal overholde NIS2 direktivet
Du kan finde ud af om du skal overholde NIS2 ved at gennemgå sektor og størrelsesbegrænsningerne for NIS2. Hvis du skal overholde direktivet, så burde du gå i gang med en risikoanalyse.
Skridt 2: Lav en risikoanalyse
En risikoanalyse giver dig overblik over alle de forskellige potentielle sikkerhedsbrud, som din organisation kan stå overfor, hvor stor sandsynligheden er for, at de sker, hvor stor en påvirkning de vil have på din organisation, og hvad du allerede foretager dig for at håndtere den risiko.
En risikohåndteringsprocess som denne er et krav fra NIS2. Du kan komme i gang med processen, med vores gratis risikoanalyseskabelon, samt vores guide til hvordan du udfylder den. Risikoanalysen kan hjælpe dig med at finde hullerne i din sikkerhed, og hvad du skal gøre for at lappe dem.
Mens du er i gang, så kræver NIS2 direktivet, også at du skal have en IT-sikkerhedspolitik. Vi har selvfølgelig også en gratis skabelon og guide til, hvordan du udfylder en IT-sikkerhedspolitik.
Udover dette, så burde du måske også overveje, om du burde bruge ISO/IEC 27001 til at informere din risikoanalyse og håndteringspraksisser. Du kan læse mere om at blive ISO 27001 certificeret lige her.
Skridt 3: Implementér sikkerhedstiltag
Når du har besluttet dig for, hvilke sikkerhedsændringer, som du skal foretage dig, så er det tid til at sætte dem i værks.
Her kan et framework, som Plan-Do-Check-Act (PDCA) cyklussen hjælpe dig. Den giver dig en struktureret måde at igangsætte nye foranstaltninger og måle, hvor godt de virker. Mange organisationer bruger det til at løbende forbedre deres cybersikkerhed.
Når du indfører nye sikkerhedsforanstaltninger, skal du sørge for, at du har dækket alle 10 af de grundlæggende sikkerhedskrav, der er anført i NIS2-direktivet.
Du bør også se på din forsyningskæde og leverandørforhold, så du kan sikre, at de også er sikre. Det er vigtigt at arbejde med databehandlerpartnere, der har et højt sikkerhedsniveau for at sikre, at du har en sikker forsyningskæde. Du kan læse vores guide om databehandlere og dataansvarlige lige her.
ISO 22301 kan guide dit arbejde relateret til forretningskontinuitetsplanlægning og forsyningskædesikkerhed.
Skridt 4: Evaluer effektiviteten af de her tiltag
Hvis dine sikkerhedsforanstaltninger ikke er nok eller ikke fungerede helt, som du forventede, er det her, du kan se det og foretage ændringer. Det er godt at starte tidligt med dit NIS2-arbejde, så selvom du foretager justeringer, så vil du være klar i oktober 2024!
Awareness-træning I NIS2 direktivet
Siden vores mission her I CyberPilot er at tilbyde kvalitets awareness-træning, så holder vi selvfølgelig øje med kravene fra NIS2 direktivet.
Det nye direktiv kræver sikkerhedsdæmpende tiltag, hvilket kan inkludere at træne dine kollegaer I at kunne opdage phishing mails, igennem phishing-træning.
NIS2-direktivet kræver også at man modtager awareness-træning - og at øgning af bevidstheden indenfor IT-sikkerhed kommer til at være et fokusområde for hvert lands nationale IT-sikkerhedsstrategier, hertil også for Datatilsynet.
Træning i cybersikkerhed, risici, IT-sikkerhedsfærdigheder, awareness og gode IT-sikkerhedspraksisser for både ledelsen og medarbejdere er en prioritet i NIS2-teksten. Vores awareness-træningskurser er en måde, hvorpå CyberPilot kan hjælpe med at tilpasse dig til NIS2.
Cyberhygiejne I NIS2 direktivet
Opbygning af en stærk IT-sikkerhedskultur og gode digitale vaner i din organisation er også noget der bliver nævnt i NIS2. En cyber-orienteret kultur og medarbejdere med gode digitale vaner går hånd i hånd ift. at øge din samlede sikkerhed.
En nem måde at holde IT-sikkerhed på dagsordenen er ved at bruge visuelle påmindelser på dit kontor. Vi har gratis plakater og infoskærme med sjove tips og tricks til din IT-sikkerhed Du kan også tjekke vores guide til at skabe en stærk sikkerhedskultur i din organisation.
Lær mere om NIS2
Vil du gerne læse mere om NIS2 direktivet? Europa-Kommissionen har besvaret nogle ofte stillede spørgsmål her. Vi er selvfølgelig klar til at hjælpe dig med din overgang til NIS2-overholdelse. Du tager bare fat i os!
You will receive inspiration, tools and stories about good cyber security practice directly in your inbox. Our newsletter is sent out approximately once a month.