Hvad Er NIS2 direktivet, Og Hvordan Vil Det Påvirke Din Organisation?

Sarah Hofmann
By: Sarah Hofmann IT-sikkerhed | 5 august

NIS2 (Network and Information Security) -direktivet er EU’s seneste politik, der har til formål at forbedre medlemslandenes kollektive IT-sikkerhed. Den trådte i kraft i januar 2023, og alle relevante organisationer forventes at overholde de nye krav fra den 18. oktober 2024. NIS2-direktivet vil sikre, at alle organisationer, der tjener en væsentlig funktion i samfundet, har et højt IT-sikkerhedsniveau.

I dette indlæg giver vi en opsummering af NIS2 direktivet. Vi diskuterer også, hvad NIS2 er for en størrelse, hvilke slags organisationer det gælder for, samt de nye sikkerhedskrav som organisationerne skal opfylde, og hvordan det vil blive håndhævet. Vi giver dig også fire trin til at hjælpe dig i gang med dit NIS2-arbejde. Her er, hvad det hele handler om, om det gælder for din organisation, og hvad du bør gøre, hvis det gør. 

Indholdsfortegnelse

 

Inden vi springer ud i selve blogpostet, så kommer her lidt opdateringer fra året om, hvorhenne vi er den dag i dag.

Opdatering august 2024

Folketinget er nu kommet med nye og flere informationer om NIS2. Men, det bliver ikke ultra konkret endnu, så vi må stadig være tålmodige. 

Her er dog, hvad der er nyt.

Hvornår bliver NIS2 implementeret og hvem er indbefattet?

Folketinget forventer NIS2 implementering i marts 2024.

Mange har spurgt om, hvem der er indbefattet af NIS2. Nu ved vi, at universiteter og regioner er indenfor scopet. Nogle kommuner er også, men tilsyneladene ikke alle. Hvis kommuner agerer som "sundhedsudbyder", leverer offentlige elektroniske netværk eller services eller er mere end 50 medarbejdere, så er de indbefattet. Det må altså være langt de fleste kommuner og kun de allermindste, der ikke er.

Hvert enkelt ministerie kommer med konkret guidance og krav

Det bliver op til hver ministerie at lave konkrete råd og krav, når det kommer til NIS2. F.eks. vil finansministeriet inkorporere NIS2 og DORA i deres lovgivning. 

Vil du gerne have en lidt mere generel tilgang, kan du kigge mod EU, som har udgivet et bud på risikohåndtering og rapportering for digital infrastruktur, udbydere og ICT managers.

I Danmark bliver Center for Cybersikkerhed ansvarlig for at koordinere og holde øje med implementeringen af NIS2 i samarbejde med de forskellige ministerier i de berørte sektorere.

Personlige straf er sidste udvej

NIS2 åbner op for, at ledelsen kan blive supsenderet og få straf, hvis kravene ikke blive underholdt. Det nye udlæg fra Folketinget understreger, at dette kun bliver brugt som sidste udvej, og at en suspendering bliver ophævet, når virksomheden har gjort de nødvendige tiltag.

Lidt generelle kommentarer fra opdateringen

Folketinget anbefaler, at den risikobaserede tilgang er en "All-hazard-approach", hvilket betyder, at det skal inkludere alle type trusler f.eks. ogsåfysiske trusler (oversvømmelse, brand). De anbefaler også at inkludere risk-management measures i kontrakter med direkte udbydere.

Folketinger ligger også fokus på generel IT-sikkerheds awareness, hygiejne og færdigheder for alle i ens organisationer (host, awareness-træning), og at selv SME'er bør kigge imod NIS2, selvom de ikke er direkte involverede.

Og hvad er god hygiejne. Det er alt det, vi råber højt om:

  • Hav styr på politikker og retningslinjer
  • Software og hardware opdateringer
  • Lange stærke passwords og multi-faktor
  • Backup
  • Etc., etc.,
Det var det. Det er stadig ikke super konkret, men vi kan forvente, at de ministerier der arbejder med sektorere, der er berørt af NIS2 kommer med de konkrete anbefalinger og krav i en nær fremtid.

Opdatering februar 2024: NIS2-regler bliver forsinket

Implementeringen af NIS2 skulle træde i kraft d. 17 oktober 2024. Men regeringen har meldt ud, at den danske implementering bliver forsinket. Det var meningen, at regeringen skulle mødes i første kvartal, men det er blevet udskudt til oktober. Dermed når Danmark selvsagt ikke at blive klar til oktober. Det betyder også, at deadline for danske virksomheder og orgnisationer bliver udskudt (nu hedder det i slutningen af 2024, men vi må vente og se) 

Der kommer måske seperate regler tidligere for nogle af de vigtigste sektorer som tele-, energi- og finanssektorerne. De er dog allerede meget regulerede og bør kunne leve op til reglerne, der kommer. 

Hvad er NIS2 direktivet 

NIS2 direktivet er en ny EU-politik, som alle medlemslande og organisationer, der leverer tjenester indenfor EU, aktivt skal overholde senest d. 18. oktober 2024. NIS2 direktivets formål er at beskytte organisationer imod IT-trusler, især for de organisationer, som håndterer samfundskritisk infrastruktur og funktioner. Grunden til at beskytte netop de organisationer er for, at højne den generelle IT-sikkerhed i hele EU.

For at nå dette mål fokuserer NIS2 på organisationer, som varetager væsentlige samfundsfunktioner. 

Disse organisationer er typisk nogen som samfundet er afhængigt af, for at kunne fungere optimalt. Det betyder, at enhver forstyrrelse af disse organisationer kan have stor og alvorlig indvirkning på f.eks. økonomiske aktiviteter eller folkesundheden i EU.

NIS2 indeholder altså skærpede krav for sikkerhed, nye og strengere rapporteringsindberetninger, samt strengere håndhævelseskrav for flere organisationer end det første NIS-direktiv. 

 

Kort sagt er det altså nye sikkerhedskrav til de virksomheder og organisationer, som vi er allermest afhængige af. 

Organisationer inkluderet i NIS2-direktivet omfatter virksomheder og organisationer, der leverer tjenester, som er afgørende for samfundsmæssige og økonomiske aktiviteter

Hvorfor NIS2 blev udviklet 

Vi ved godt, at du nok ikke kan vente med at dykke ned i alt det nye med NIS2.

Men inden det...

Så synes vi, at vi skal starte med lidt information om, hvorfor det nye direktiv er blevet udviklet. 

EU’s første IT-sikkerhedspolitik, NIS-direktivet, der trådte i kraft i 2016, trængte til en opdatering i kølvandet på nye IT-sikkerhedstrusler. Under COVID-19 pandemien oplevede verden en stigning i IT-angreb, hvilket fik Europa-Kommissionen til at foreslå et nyt og forbedret NIS2-direktiv.   

NIS2 vil udfylde hullerne i det oprindelige NIS-direktiv ved at udvide omfanget af kritiske tjenesteudbydere, styrke sikkerhedskravene i disse organisationer, adressere forsyningskædesikkerhed og øge rapporteringsforpligtelser og -håndhævelse.

I oktober 2024, vil NIS2 erstatte det originale NIS-direktiv med en mere omfattende politik for at styrke IT-sikkerheden og modstandskraften hos væsentlige tjenesteudbydere i EU. Målet er, at det vil forberede organisationer til at håndtere både nutidens og fremtidens cybertrusler. 

NIS2 vil erstatte NIS-direktivet. Det vil medføre, at flere organisationer skal overholde strengere krav til IT-sikkerhed.

Omfatter NIS2 din organisation?  

Det er det spørgsmål, som alle stiller. 

Det gør den, hvis du arbejder i en af de sektorer, som det oprindelige NIS omfattede, eller en af de sektorer som er blevet føjet til listen i det nye NIS2.  

Hvis du ikke er sikker, så bare rolig! Vi skal nok hjælpe dig med at finde ud af det i de næste sektioner. 

Det oprindelige NIS-direktiv omfattede organisationer i følgende sektorer:  

  • Sundhed  
  • Digital infrastruktur  
  • Transport  
  • Vandforsyning  
  • Digitale tjenesteudbydere  
  • Bank- og finansmarkedsinfrastruktur  
  • Energi 

Det nye NIS2-direktiv omfatter hele 18 forskellige sektorer med undersektorer 

 

NIS2 bruger en masse forskellige udtryk og termer til at beskrive de sektorer, som det gælder for. Vi guider dig igennem hver af dem, en efter en.

Vi undlader alt den juridiske snak og fortæller dig kun, hvad du har brug for at vide. 

Lad os starte med at se på de 18 forskellige sektorer, som NIS2 er gældende for.

NIS2-direktivet opdeler sektorerne i to forskellige kategorier: Sektorer med høj kritikalitet, og andre kritiske sektorer. Vi skal nok vende tilbage til, hvorfor disse kategorier betyder noget senere, men indtil da skal du bare holde øje med om din organisation er inkluderet, og hvor.


Risk

Enheder af særlig kritisk betydning i NIS2 direktivet 

De følgende 11 sektorer omfattes og betragtes som yderst samfundskritiske i NIS2. For hver sektor har vi listet undersektorerne og hvad de inkluderer. Hvis du følger med i selve NIS2 direktivteksten, så står disse sektorer under Bilag 1. (Nederst i dokumentet). 

1. Energi

Elektricitet 

Inkluderer:

  • Elektricitetsvirksomheder 
  • Distributionssystemoperatører 
  • Transmissionssystemoperatører 
  • Producenter 
  • Udvalgte elektricitetsmarkedsoperatører 
  • Markedsdeltagere der leverer tjenester, der vedrører aggregering, fleksibelt elforbrug eller energilagring 
  • Operatører af ladestationer, samt operatører der er ansvarlige for forvaltningen, samt driften af ladestationer, der leverer ladeydesler til slutbrugere. Dette inkluderer også tjenester udbudt på vegne af udbydere, via en mellemleverandør. 
Fjernvarme og fjernkøling 
Inkluderer operatører af fjernvarme eller fjernkøling 
Olie
inkluderer:
  • Olierørledningsoperatører 
  • Operatører af olieproduktionsanlæg, -raffinaderier og -behandlingsanlæg, olielagre og olietransmission 
  • Centrale lagerenheder 
Gas 

Inkluderer:

  • Forsyningsvirksomheder 
  • Distributionssystemoperatører 
  • Transmissionssystemoperatører 
  • Lagersystemoperatører 
  • LNG-systemoperatører 
  • Naturgasvirksomheder 
  • Operatører af naturgasraffinaderier og -behandlingsanlæg 
Brint 

Inkluderer operatører inden for brintproduktion, -lagring og -transmission

 

2. Transport

Luft 
Inkluderer:
  •  Luftfartsselskaber der anvendes til kommercielle formål 
  • Lufthavnsdriftsorganer og enheder med tilknyttede anlæg i lufthavne 
  • Trafikledelses- og kontroloperatører, der udøver flyvekontroltjenester  
Jernbane

Inkluderer: 

  • Infrastrukturforvaltere 
  • Jernbanevirksomheder, herunder operatører af servicefaciliteter 
Vand

Inkluderer:

  • Rederier, som udfører passager- og godstransport ad indre vandveje, i højsøfarvand eller kystnært farvand, bortset fra de enkelte fartøjer, som drives af disse rederier 
  • Driftsorganer i havne herunder deres havnefaciliteter, og enheder, der opererer anlæg og udstyr i havne 
  • Operatører af skibstrafiktjenester 
Vej

Inkluderer:

  • Vejmyndigheder, der er ansvarlige for trafikledelse, med undtagelse af offentlige enheder, for hvilke trafikledelse eller drift af intelligente transportsystemer er en ikkevæsentlig del af deres generelle aktivitet 
  • Operatører af intelligente transportsystemer 

3. Bankvirksomheder

Inkluderer kreditinstitutter 

 

4. Finansielle markedsinfrastrukturer

Inkluderer:
  • Operatører af markedspladser 
  • Centrale modparter (CCP'er) 

 

5. Sundhed

Inkluderer:

  • Sundhedstjenesteydere 
  • EU-referencelaboratorier 
  • Enheder, der udfører forsknings- og udviklingsaktiviteter vedrørende lægemidler 
  • Enheder, der fremstiller farmaceutiske råvarer og farmaceutiske præparater, som omhandlet i hovedafdeling 
  • Enheder, som fremstiller medicinsk udstyr, som den anser for at være kritisk i en folkesundhedsmæssig krisesituation 

 

6. Drikkevand

Inkluderer leverandører og distributører af drikkevand. Dette inkluderer dog ikke distributører, for hvilke distribuering af drikkevand er en ikkevæsentlig del af deres generelle aktivitet med distribuering af andre råvarer og varer.

 

7. Spildevand

Inkluderer virksomheder der indsamler, bortskaffer eller behandler byspildevand, husspildevand eller industrispildevand. Dette inkluderer dog ikke virksomheder, for hvilke indsamling, bortskaffelse eller behandling af byspildevand, husspildevand eller industrispildevand er en ikke-væsentlig del af deres generelle aktivitet. 

 

8. Digital infrastruktur

Inkluderer:
  • Udbydere af internetudvekslingspunkter 
  • DNS-tjenesteudbydere, bortset fra operatører af rodnavneservere 
  • Topdomænenavneadministratorer 
  • Udbydere af cloud-computing-tjenester 
  • Udbydere af datacentertjenester 
  • Udbydere af indholdsleveringsnetværk 
  • Tillidstjenesteudbydere 
  • Udbydere af offentlige elektroniske kommunikationsnet 
  • Udbydere af offentligt tilgængelige elektroniske kommunikationstjenester 

 

9. Forvaltning af IKT-tjenester (business-to-business)

Inkluderer:
  • Udbydere af administrerede tjenester 
  • Udbydere af administrerede sikkerhedstjenester 

10. Offentlig forvaltning

Inkluderer:
  • Offentlige forvaltningsenheder under central forvaltning
  • Offentlige forvaltningsenheder på regionalt plan
  • Medlemsstater kan anvende NIS2 på: (a) offentlige administrationsorganer på lokalt niveau; (b) uddannelsesinstitutioner, især når de udfører kritiske forskningsaktiviteter 
  • Anvendes ikke på offentlige administrationsorganer, der udfører deres aktiviteter indenfor national sikkerhed, offentlig sikkerhed, forsvar eller retshåndhævelse, herunder forebyggelse, efterforskning, opdagelse og retsforfølgelse af kriminelle overtrædelser 

11. Rumnet 

Inkluderer operatører af jordbaseret infrastruktur, der ejes, forvaltes og drives af medlemsstater eller private parter, og som understøtter levering af rumbaserede tjenester, undtagen udbydere af offentlige elektroniske kommunikationsnet 

Nu vil vi se på de andre kritiske sektorer, der er anført i NIS2. Hvis din organisation befinder sig i en sektor ovenfor, så bliver den ikke nævnt igen.

Andre kritiske enheder der er omfattet af NIS2-direktivet  

NIS2-direktivet definerer 7 andre kritiske sektorer og tilhørende enheder. Her er de nedenfor sammen med de forskellige undersektorer og beskrivelser af, hvad undersektorerne omfatter. For øvrigt hører disse til under Bilag 2. i NIS2-direktivt, hvis du gerne vil opfriske din juridiske jargon.  

1. Post- og kurertjenester

Inkluderer: postbefordrende virksomheder, herunder udbydere af kurertjenester.

 

2. Affaldshåndtering

Inkluderer: Virksomheder, der varetager affaldshåndtering, bortset fra virksomheder, for hvilke affaldshåndtering ikke er deres vigtigste økonomiske aktivitet.

 

3. Fremstilling, produktion og distribution af kemikalier

Inkluderer: Virksomheder, der beskæftiger sig med fremstilling af stoffer og distribution af stoffer eller blandinger, samt virksomheder der beskæftiger sig med produktion af artikler ud af stoffer eller blandinger.

 

4. Produktion, forarbejdning og distribution af fødevarer

Inkluderer: Fødevarevirksomheder der beskæftiger sig med engrosdistribution og industriel produktion og tilvirkning.

 

5. Fremstilling

Inkluderer:

  • Fremstilling af medicinsk udstyr og medicinsk udstyr til in-vitro-diagnostik 
  • Fremstilling af computere, elektroniske og optiske produkter  
  • Fremstilling af elektrisk udstyr 
  • Fremstilling af maskiner og udstyr i.a.n.  
  • Fremstilling af motorkøretøjer, påhængsvogne og sættevogne 
  • Fremstilling af andre transportmidler 

 

6. Digitale udbydere

Inkluderer:
  • Udbydere af online markedspladser  
  • Udbydere af onlinesøgemaskiner  
  • Udbydere af platforme for sociale netværkstjenester 

 

7. Forskning

Inkluderer: Forskningsorganisationer – hvilket betyder en enhed, hvis primære mål er at udføre anvendt forskning eller udvikling med henblik på at udnytte resultaterne af denne forskning til kommercielle formål, men som ikke indbefatter uddannelsesinstitutioner. 

 

Så hvis din organisation befinder sig indenfor en af sektorerne nævnt ovenfor, uanset om den er i den særligt kritiske eller andre kritiske kategorier, så gælder NIS2 måske for dig 

Så hvad nu?

Fyld din kaffekop op og følg med, vi er slet ikke færdige endnu! 

Nu er det tid til at snakke om de to forskellige kategorier af organisationer indenfor NIS2-direktivet.

Væsentlige og Vigtige enheder ifølge NIS2 

Nu tilføjer vi endnu et lag af kategorier. NIS2 definerer to kategorier af enheder i omfanget: vigtige og væsentlige. 

Det er i alt fire forskellige kategorier... Men hvem tæller egentligt? 

Organisationerne i begge kategorier skal opfylde de samme sikkerhedskrav.  

Forskellen ligger i, hvordan vigtige og væsentlige organisationer bliver overvåget og straffet for manglende compliance.  

For at finde ud af, om din organisation anses som væsentlig eller vigtig, kommer for det meste an på størrelsen.

Vi giver dig detaljerne nu!

Væsentlige enheder 

  • Organisationer i særligt kritiske sektorer (se ovenfor) med mere end 250 ansatte, en årlig omsætning på mere end €50 millioner eller balance større end €43 millioner
  • Uanset størrelse: tillidstjenesteudbydere, topdomænenavneadministratorer og DNS-tjenesteudbydere
  • Udbydere af offentlige elektroniske kommunikationsnetværk eller af offentligt tilgængelige elektroniske kommunikationstjenester med 50-250 ansatte eller mere end € 10 mio. i omsætning 
  • Offentlige forvaltningsenheder 
  • Enhver anden meget vigtig organisation, der er den eneste udbyder af tjenesten i landet eller, hvor afbrydelse af deres tjeneste, kan have en betydelig indvirkning 

Væsentlige organisationer kan overvåges proaktivt for at sikre, at de opfylder kravene i NIS2-direktivet. 

Vigtige enheder 

Vigtige enheder er egentlig bare dem der er tilbage, som ikke anses, som værende væsentlige.  

  • Alle andre særligt kritiske, eller andre kritiske organisationer, der ikke passer til kvalifikationerne for væsentlige enheder. 

I praksis betyder det, at organisationer indenfor de sektorer, der er omfattet af NIS2-direktivet (ovenfor), som er mellemstore eller mindre (færre end 250 ansatte eller har en årlig omsætning på under €50 mio. eller en balance på under €43 mio.). 

Små (færre end 50 ansatte, omsætning på € 10 mio. eller mindre) og mikrovirksomheder (færre end 10 ansatte, omsætning på €2 mio. eller mindre) er ikke nødvendigvis udelukket fra at overholde NIS2. De lande de opererer i, kan inkludere dem, hvis deres tjenester spiller en central rolle i samfundet. 

Vigtige organisationer overvåges "efter kendsgerningen", hvilket betyder, at de kun vil blive undersøgt, hvis myndighederne modtager beviser for manglende overholdelse. 

Puha – den svære del er forbi nu. Tak for at du stadig hænger i!

Nu hvor vi har fået alle de komplicerede NIS2-detaljer af vejen, så det på tide til at dykke ned i, hvad NIS2 egentlig betyder for dig. 

Hvad hvis min organisation ikke er lokaliseret i EU? 

Ikke i EU, ikke dit problem? Du kan godt tro om. 

Selv, hvis din organisation ikke er lokaliseret i EU, men tilbyder tjenester indenfor EUs grænser, så skal du overholde NIS2 direktivet.

NIS2 giver os nogle regler om, hvordan ikke-EU-organisationer burde fortsætte.

Den siger, at ikke-EU-enheder der tilbyder tjenester indenfor EU skal udpege en EU-repræsentant indenfor et af de lande, hvor enhedens tjenester bliver udbudt. Repræsentanten er derfra ansvarlig for at styre organisationens compliance-arbejde ift. NIS2, såsom at rapportere sikkerhedshændelser.

Hvad hvis NIS2 direktivet ikke gælder for mig? 

Hvis det, efter at have læst gennem de forskellige sektorer og størrelsesbegrænsningerne ovenfor, ser ud til, at din organisation ikke er forpligtet til at overholde NIS2 - Så bare rolig.

Du skal ikke bekymre dig om nogle umiddelbare bøder, eller skridt du skal tage for at opnå compliance. 

Men du burde måske overveje at opbygge dit sikkerhedsarbejde, så det overholder direktivet alligevel. Det kan der altså godt være et par gode grunde til.  

  • NIS2 opfordrer lande til at sikre, at selv de organisationer, der ikke er omfattet af direktivet, opnår et højt niveau af cybersikkerhed ved at implementere de samme risikostyringsforanstaltninger 
  • Omfanget af organisationer NIS2 gælder for er bredt, og disse organisationer skal sørge for, at deres leverandører også er sikre. Så mange virksomheder vil ende med at skulle overholde NIS2-direktivet, fordi en virksomhed, de arbejder med, også gør det 

Helt grundlæggende ser det ud til, at risikostyringen og IT-sikkerhedsforanstaltningerne i NIS2 hurtigt vil den nye standard.

Ved proaktivt at tilpasse din sikkerhed til at inkludere de 10 minimumssikkerhedsforanstaltninger i NIS2, gør du det nemt for andre virksomheder at samarbejde med dig. Du kan også signalere til dine kunder, at du bruger sikker praksis, og at de derved kan stole på dig. 

Så nu hvor du har en idé om, hvorvidt NIS2 gælder for din organisation...

Lad os nu tale om alt, hvad organisationer skal gøre for at overholde direktivet.

Det vigtigste at vide er, at der er 10 sikkerhedskrav og tidslinjer for rapportering af sikkerhedshændelser.

Lad os dykke ned i det! 

 

NIS2 direktivet har tre overordnede mål  

NIS2's tre hovedmål er at øge IT-modstandsdygtigheden på tværs af væsentlige tjenesteudbydere, strømline modstandsdygtigheden gennem strengere sikkerhedskrav og sanktioner for overtrædelser og forbedre EU’s beredskab til at håndtere IT-angreb.

NIS2 håndterer dette med nye retningslinjer for ting, såsom sikkerhed og ansvarlighed 

Der er 4 områder med nye krav i NIS2-direktivet 

1. Risikostyring 

I hele NIS2-direktivet er styring af IT-sikkerhedsrisici et centralt tema. NIS2 siger, at organisationer bør bruge en tilgang der omfatter alle farer, så man bedre kan håndtere risici, der kan komme. Disse kan f.eks. være menneskelige fejl, systemfejl, ondsindede aktører, naturkatastrofer, samt systemernes fysiske og miljømæssige sikkerhed. 

2. Virksomhedens ansvar 

NIS2 holder ledere på C-niveau for ansvarlige på nye måder. Direktivet kræver, at ledelsen overvåger, godkender, bliver trænet i, og adresserer risici for deres organisationers cybersikkerhed. Hvis de undlader at gøre det, kan de blive holdt personligt ansvarlige gennem foranstaltninger, såsom suspension fra lederstillinger. 

3. Rapporteringsforpligtelser 

Det nye direktiv har detaljerede krav for rapportering af sikkerhedsbrud, hvilket vi diskuterer senere her i blogindlægget. Men for nu, så er det altså godt at vide, at organisationer skal have processer på plads for hurtigt at kunne rapportere sikkerhedsbrud. 

4. Forretnings kontinuitet 

Da NIS2 gælder for udbydere af essentielle tjenester, er det vigtigt, at disse organisationer har planer for at holde deres tjenester kørende, hvis de nu oplever en større sikkerhedshændelse. F.eks. bør planen omfatte ting som systemgendannelse, nødprocedurer og oprettelse af et kriseberedskabsteam.

Så, nu kommer vi til det sjove! - Hvad NIS2 faktisk kræver, og hvad der kan ske, hvis du ikke overholder kravene.

NIS2 krav 

NIS2-direktivet har krav til minimumssikkerhedsforanstaltninger, samt at organisationer skal have tidsplaner for rapportering af sikkerhedshændelser, og hvordan organisationer kan straffes, hvis de ikke overholder dette.

IT-sikkerhed: De 10 minimums sikkerhedsforanstaltninger krævet af NIS2 

NIS2 siger, at organisationer skal tage passende og forholdsmæssige risikostyringsforanstaltninger for, at forhindre sikkerhedshændelser og minimere deres effekt.

Det giver altså en liste på 10 basislinjeforanstaltninger, som alle organisationer skal forholde sig til.

Gør din tjekliste klar og se, hvor mange du allerede har styr på! 

  1. Politikker for risikoanalyse og informationssystemsikkerhed

  2. Hændelseshåndtering

  3. Forretningskontinuitet, såsom backup-styring, katastrofe-gendannelse og krisestyring

  4. Sikkerhed i forsyningskæden, herunder sikkerhedsrelaterede aspekter vedrørende forholdet mellem hver enhed og dens direkte leverandører eller tjenesteudbydere

  5. Sikkerhed i forbindelse med anskaffelse, udvikling og vedligeholdelse af netværk og informationssystemer, herunder sårbarhedshåndtering og fortrolighed

  6. Politikker og procedurer til at vurdere effektiviteten af risikostyringsforanstaltninger for cybersikkerhed

  7. Grundlæggende cyberhygiejnepraksisser og IT-sikkerhedstræning

  8. Politikker og procedurer vedrørende brugen af kryptografi, og hvor det er relevant, kryptering

  9. Personalesikkerhed, adgangskontrolpolitikker og asset management

  10. Brugen af multifaktorautentificering eller kontinuerlige autentificeringsløsninger, sikret stemme-, video- og tekstkommunikation og sikrede nødkommunikationssystemer indenfor enheden – hvor det er relevant 

NIS2-direktivets tekst lægger vægt på god cyberhygiejnepraksisser og awareness om cybersikkerhed.

Nogle elementer af cyberhygiejne nævnt i NIS2-direktivet er: software- og hardwareopdateringer, adgangskodeændringer, håndtering af nye installationer, adgangskontrol og onlineapplikationssikkerhed. 

Direktivet prioriterer også forsyningskædesikkerhed. Den siger, at virksomhederne skal skræddersy deres sikkerhedsforanstaltninger til enhver direkte leverandør og vurdere det overordnede sikkerhedsniveau for alle leverandører. 

Heldigvis er de fleste af disse krav ikke nye, og mange virksomheder arbejder forhåbentlig allerede med disse områder. Det går også hånd i hånd med GDPR-arbejde, fordi disse er gode skridt i retning af at beskytte data.  

 Billede af Risiko-analyse skabelon

Nye rapporteringskrav 

Hvis du oplever en sikkerhedshændelse, skal du fortælle de rigtige personer det. NIS2-direktivet giver klare instruktioner for, hvordan organisationer skal rapportere sikkerhedshændelser. 

  • Inden for 24 timer efter, at du først er blevet opmærksom på en hændelse: Indsend en tidlig advarsel til CSIRT (Computer Security Incident Response Team) eller den nationale myndighed, såsom Datatilsynet. Hvis det er muligt, skal der stå, om det formodes, at hændelsen er forårsaget af ondsindet eller ulovlig adfærd, og om det vil have konsekvenser på tværs af landegrænser 
  • Indenfor 72 timer efter, at du først er blevet opmærksom på en hændelse: Indsend en hændelsesmeddelelse. Den bør give en opdatering til den tidlige advarsel, med en indledende vurdering af hændelsen, dens alvor og virkning, samt eventuelle indikatorer på kompromis 
  • Indenfor 1 måned efter, at du første gang er blevet opmærksom på en hændelse: Indsend en endelig rapport. Den skal have en detaljeret beskrivelse af hændelsen, herunder dens alvor og virkning; hvad forårsagede det; anvendte og igangværende afbødende foranstaltninger; og den grænseoverskridende virkning 

  

Forhåbentlig behøver du ikke bruge denne del af vores NIS2-guide. Men det er her, hvis du har brug for det.

 

Højere sanktioner for NIS2 overtrædelser og øget overvågning 

NIS2 direktivet mener det, ift. at sikre sig, at virksomheder følger reglerne. 

Den har minimums økonomiske bøder, som anvendes, hvis en organisation ikke overholder sikkerhedsrisikostyringen eller rapporteringskravene for NIS2. 

Væsentlige enheder kan få en bøde på minimum €10.000.000 eller 2% af deres globale årlige omsætning af det tidligere år, den der nu er højest. Det er den samme slags bøde, som man får for mindre GDPR-overtrædelser. 

Vigtige enheder kan få en bøde på minimum 7.000.000 eller 1,4% af den samlede globale omsætning for det tidligere år, det som nu er højest. 

Organisationer kan forvente at blive overvåget gennem revisioner, on-site inspektioner og anmodninger om information/dokumentation for NIS2 compliance. Hvis et NIS2 brud er fundet, kan den skyldige organisation modtage en bøde, en ikke-økonomisk bøde, såsom en complianceordre, eller at ledelsen kan blive holdt ansvarlig. 

For det meste, så vil organisationer blive overvåget af det land, som organisationen befinder sig i - med visse undtagelser for organisationer indenfor den digitale-infrastruktursektor.

Så hvad betyder NIS2 for din organisation? 

Organisationer indenfor sektorerne der er dækket af NIS2-direktivet vil blive holdt ansvarlig for at overholde de nye sikkerhedstiltag fra d. 18. oktober, 2024.

For nogle af sektorerne vil kommissionen udgive yderligere information om de tekniske krav d. 17. oktober, 2024. 

Så, hvis din organisation er inkluderet i direktivets omfang, så er det altså en god idé at komme i gang nu. 

Hvis din organisation ikke er inkluderet i sektorerne og størrelsesbegrænsningerne, som NIS2 direktivet forudsætter, så kan du godt slappe lidt af.

Du burde dog overveje om nogle af de virksomheder, som du arbejder med, skal overholde NIS2, og hvad det måske kan betyde for din organisation. Du burde nok også tænke over, hvordan du alligevel kan implementere de nye sikkerhedstiltag, da de vil give dig et forspring senere.

Vores anbefalinger til din organisation 

Inden vi smutter, så vil vi gerne give dig fire skridt, som kan hjælpe dig i den rigtige retning med dit NIS2 arbejde. 

Skridt 1: Find ud af om din organisation skal overholde NIS2 direktivet 

Du kan finde ud af om du skal overholde NIS2 ved at gennemgå sektor og størrelsesbegrænsningerne for NIS2. Hvis du skal overholde direktivet, så burde du gå i gang med en risikoanalyse. 

Skridt 2: Lav en risikoanalyse 

En risikoanalyse giver dig overblik over alle de forskellige potentielle sikkerhedsbrud, som din organisation kan stå overfor, hvor stor sandsynligheden er for, at de sker, hvor stor en påvirkning de vil have på din organisation, og hvad du allerede foretager dig for at håndtere den risiko.

En risikohåndteringsprocess som denne er et krav fra NIS2. Du kan komme i gang med processen, med vores gratis risikoanalyseskabelon, samt vores guide til hvordan du udfylder den. Risikoanalysen kan hjælpe dig med at finde hullerne i din sikkerhed, og hvad du skal gøre for at lappe dem. 

Mens du er i gang, så kræver NIS2 direktivet, også at du skal have en IT-sikkerhedspolitik. Vi har selvfølgelig også en gratis skabelon og guide til, hvordan du udfylder en IT-sikkerhedspolitik. 

Udover dette, så burde du måske også overveje, om du burde bruge ISO/IEC 27001 til at informere din risikoanalyse og håndteringspraksisser. Du kan læse mere om at blive ISO 27001 certificeret lige her. 

Skridt 3: Implementér sikkerhedstiltag 

Når du har besluttet dig for, hvilke sikkerhedsændringer, som du skal foretage dig, så er det tid til at sætte dem i værks.

Her kan et framework, som Plan-Do-Check-Act (PDCA) cyklussen hjælpe dig. Den giver dig en struktureret måde at igangsætte nye foranstaltninger og måle, hvor godt de virker. Mange organisationer bruger det til at løbende forbedre deres cybersikkerhed. 

Når du indfører nye sikkerhedsforanstaltninger, skal du sørge for, at du har dækket alle 10 af de grundlæggende sikkerhedskrav, der er anført i NIS2-direktivet.

Du bør også se på din forsyningskæde og leverandørforhold, så du kan sikre, at de også er sikre. Det er vigtigt at arbejde med databehandlerpartnere, der har et højt sikkerhedsniveau for at sikre, at du har en sikker forsyningskæde. Du kan læse vores guide om databehandlere og dataansvarlige lige her. 

ISO 22301 kan guide dit arbejde relateret til forretningskontinuitetsplanlægning og forsyningskædesikkerhed. 

Skridt 4: Evaluer effektiviteten af de her tiltag 

Hvis dine sikkerhedsforanstaltninger ikke er nok eller ikke fungerede helt, som du forventede, er det her, du kan se det og foretage ændringer. Det er godt at starte tidligt med dit NIS2-arbejde, så selvom du foretager justeringer, så vil du være klar i oktober 2024! 

 

Awareness-træning I NIS2 direktivet 

Siden vores mission her I CyberPilot er at tilbyde kvalitets awareness-træning, så holder vi selvfølgelig øje med kravene fra NIS2 direktivet.

Det nye direktiv kræver sikkerhedsdæmpende tiltag, hvilket kan inkludere at træne dine kollegaer I at kunne opdage phishing mails, igennem phishing-træning. 

NIS2-direktivet kræver også at man modtager awareness-træning - og at øgning af bevidstheden indenfor IT-sikkerhed kommer til at være et fokusområde for hvert lands nationale IT-sikkerhedsstrategier, hertil også for Datatilsynet.

Træning i cybersikkerhed, risici, IT-sikkerhedsfærdigheder, awareness og gode IT-sikkerhedspraksisser for både ledelsen og medarbejdere er en prioritet i NIS2-teksten. Vores awareness-træningskurser er en måde, hvorpå CyberPilot kan hjælpe med at tilpasse dig til NIS2.

Cyberhygiejne I NIS2 direktivet 

Opbygning af en stærk IT-sikkerhedskultur og gode digitale vaner i din organisation er også noget der bliver nævnt i NIS2. En cyber-orienteret kultur og medarbejdere med gode digitale vaner går hånd i hånd ift. at øge din samlede sikkerhed.

En nem måde at holde IT-sikkerhed på dagsordenen er ved at bruge visuelle påmindelser på dit kontor. Vi har gratis plakater og infoskærme med sjove tips og tricks til din IT-sikkerhed Du kan også tjekke vores guide til at skabe en stærk sikkerhedskultur i din organisation.

Lær mere om NIS2

Vil du gerne læse mere om NIS2 direktivet? Europa-Kommissionen har besvaret nogle ofte stillede spørgsmål her. Vi er selvfølgelig klar til at hjælpe dig med din overgang til NIS2-overholdelse. Du tager bare fat i os!