Med implementeringen af NIS2 træder vi ind i ny æra af cybersikkerhed, hvor forbyggelse, beredskab og gennemsigtighed er nøgleordene i kampen mod digitale trusler. Direktivet skal være implementeret i oktober 2024, hvor en række organisationer skal leve op krav til ledelsen, risikostyring, forretningskontinuitet og rapportering til myndighederne.
Hvad står NIS2 for?
NIS2 står for 'Network and Informations Systems 2' - eller på dansk: Net- og informationssikkerhedsdirektivet. NIS2-direktivet er en opdatering af EU's oprindelige af NIS-direktiv, der blev introduceret i 2018 for at styrke cybersikkerheden på tværs af brancher og sektorer i EU's medlemslande.
NIS2 udvider og styrker de eksisterende regler ved at indføre strengere sikkerhedskrav, rapporteringsforpligtelser og skærpede krav om tilsyn og håndhævelse af reglerne.
Hvilke NIS2-krav sætter direktivet?
NIS2-direktivet kræver, at organisationer træffer "passende og forholdsmæssige tekniske, operationelle og organisatoriske foranstaltninger for at håndtere risiciene ved net- og informationssystemers sikkerhed". Det er en kringlet beskrivelse, der kort sagt betyder, at det bliver nødvendigt løbende at foretage risikoanalyser for at identificere og vurdere risici forbundet med sårbarheder og trusler samt at implementere passende sikkerhedsforanstaltninger.
Hvorvidt en sikkerhedsforanstaltning er passende i direktivets forstand, afgøres ud fra en vurdering af risikoen for, at en trussel bliver realiseret samt konsekvenserne heraf. Jo højere risikoen er, desto strengere skal sikkerhedskravene være.
Udover risikostyring som fast omdrejningspunkt sætter NIS2 krav til en række obligatoriske foranstaltninger om blandt andet:
Håndtering af hændelser
NIS2 understreger behovet for en robust incident management-plan, der sikrer, at organisationen er klar, når der opstår hændelser i forbindelse med cybersikkerheden. Planen er afgørende for at minimere skader, genoprette normal drift hurtigst muligt og i sidste ende styrke organisationens modstandsdygtighed over for cyberangreb.
Backup og krisehåndtering
I forlængelse af håndteringen af hændelser kræver NIS2, at organisationen har en it-beredskabsplan, der definerer, hvad der skal gøres, og hvem der har ansvaret. Desuden skal der være en klar procedure for back-up, som kan være med til at sikre en hurtig genetablering af driften.
Forsyningskædesikkerhed
NIS2-direktivet stiller skærpede krav til forsyningskædesikkerhed, hvilket betyder, at organisationen skal identificere, vurdere og styre de risici, der er forbundet med tredjeparter. Det gælder både leverandører, distributører, underleverandører, serviceudbydere, partnere og andre eksterne aktører, der har adgang til organisationens data, systemer eller ressourcer.
Løbende vurdering af sikkerhedsforanstaltninger
Fremadrettet bliver der sat yderligere fokus på it-sikkerhed i forbindelse med erhvervelse, udvikling og drift af organisationens net- og informationssystemer. Herunder ligger også håndtering og offentliggørelse af sårbarheder, ligesom det er essentielt at have en plan for forebyggelse og identificering af angreb på systemerne.
Uddannelse af medarbejdere
NIS2 stiller ikke kun krav til praktiske foranstaltninger, men også til uddannelse af medarbejdere, så der skabes gode sikkerhedsvaner i organisationen, herunder stærke passwords samt løbende opdateringer af software og antivirus.
LÆS OGSÅ: Awareness og informationssikkerhed er nøglen til et sikkert digitalt miljø
Personalesikkerhed og adgangskontrol
Direktivet skærper kravene til politikker i forbindelse med blandt andet adgangskontrol. Det betyder, at organisationen skal have styr på brugerrettigheder; hvem har adgang til hvilke systemer og data? Samtidig skal der tilbydes træning til bestyrelsen samt den øverste ledelse i sikkerhed, databeskyttelse og dataetik.
Politikker for kryptering
Hvis der anvendes kryptering i organisationen, stiller NIS2 krav til politikker i den forbindelse. Der skal aktivt tages stilling til, hvilke data der skal krypteres og hvordan – både internt og eksternt.
Derudover indfører direktivet en særlig indberetningspligt, der kræver, at organisationer hurtigst muligt og senest inden for 24 timer skal underrette myndighederne om væsentlige hændelser. Underretningen skal følges op af en uddybende opdatering og vurdering af hændelsen inden for 72 timer.
Hvem er omfattet af NIS2?
Anvendelsesområdet for NIS2 er blevet udvidet betydeligt sammenlignet med forgængeren, og det betyder, at du som organisation kan være reguleret af diretivet, hvis du udfører aktiviteter inden for:
- Digital infrastruktur
- Drikke- og spildevand
- Energi
- Finans
- Offentlig administration
- Rumfart
- Sundhed
- Transport
Derudover omfatter NIS2 tjenester, der knytter sig til områder som post- og kurerservice, affaldshåndtering samt fremstilling, produktion og distribution af kemikalier. Fødevareproduktion, -forarbejdning og distribution er også omfattet af direktivet på lige fod med fremstilling af medicinsk og elektronisk udstyr, maskiner, motorkøretøjer samt platforme for sociale netværkstjenester, online markedspladser og søgemaskiner.