NIS2

Overholder jeres virksomhed kravene til det nye cyber-direktiv NIS2?

Hvad er NIS2?

NIS2, en forkortelse for Net- og Informationssikkerhedsdirektivet, er et nyt EU-direktiv, der har til formål at løfte niveauet for cybersikkerhed i udvalgte organisationer. Det skal højne sikkerheden for infrastruktur og mulige samfundskritiske tjenester, som kan blive udsat for cybertrusler og heraf betydelige nedbrud. NIS2 medfører derfor en række krav, som skal sikre cybersikkerheden hos organisationer både organisatorisk og teknisk.

Flere virksomheder bliver nu omfattet i forbindelse med NIS2, end det første NIS-direktiv.

 

Er jeres organisation omfattet af NIS2?

Det vil være en konkret vurdering, hvorvidt jeres organisation er omfattet af NIS2 direktivet. Der skelnes herunder mellem henholdsvis væsentlige og vigtige enheder på sektorniveau. Det skal dog bemærkes, at der hertil er en række undtagelse til disse, som gør at man ikke nødvendigvis er omfattet af direktivet alligevel.

Hvem bliver holdt ansvarlig for brud på NIS2?

Ledelsen får et betydeligt ansvar, hvis der sker brud på loven – udover bødekrav som vi kender fra GDPR-direktivet. Derfor er det essentielt, at din organisation får udarbejdet en konkret strategi for at blive compliant med NIS2-kravene.

 

De konkrete krav, der er til NIS2, er ikke en juridisk øvelse, men snarere en organisatorisk øvelse, som skal sikre, at de nødvendige organisatoriske og tekniske implementeringer er på plads, for at øge cyber- og informationssikkerheden.

Hvordan sikrer I at blive compliant med NIS2 kravene?

  • Hændelseshåndtering og rapportering

  • Risikoanalyser og sikkerhedspolitik for informationssystemer

  • Krisehåndtering

  • Værdikædesikkerhed for leverandører

  • Kryptering

  • Politikker og procedure for vurdering af effektiviteten af sikkerhedstiltag

  • Sikkerhed og regler for adgangskontrol

 

Kom godt fra start

Vi har tidligere været igennem GDPR-compliance implementering, og nu skal vi gang med NIS2. At få sikret de nødvendige organisatoriske og tekniske foranstaltninger ift. GDPR har for mange været en opslidende og dyr proces at komme igennem. For mange var én af de vigtigste erfaringer fra dengang, at man ofte kom relativt (for) sent i gang med forberedelserne. Den konkrete opgaves omfang og betydning for kerneforretningen blev desuden stærkt undervurderet.

 

Kom derfor allerede i gang med NIS2-arbejdet nu og få analyseret jeres organisation samt fastlagt de nødvendige ressourcer for at komme i mål. Selvom vi ikke kender alle kravene endnu og afventer konkrete anbefalinger fra myndigheder, kan vi komme et langt stykke af vejen allerede nu – for du skal være klar om 21 måneder!

 

Hvordan kan vi hjælpe jer?

Hos Salamon&Company kan vi hjælpe med at identificere, hvorvidt jeres virksomhed er omfattet af NIS2-direktivet.

Vi laver en modenhedsanalyse, og giver jer en anbefaling i forlængelse heraf, så I lever op til NIS2-direktivet.

Derudover, så kan vi assistere i forbindelse med implementeringen, både i forhold til det organisatoriske og jeres virksomheds tekniske krav.  

Den konkrete modenhedsanalyse tager udgangspunkt i NIST rammeværktøjet Cybersecurity Framework (CSF) som er en anerkendt standard for, hvordan man styrer og reducerer sikkerhedsrisici.

Det tager udgangspunkt i fem centrale områder inden for cyber- og informationssikkerhed, hvilket er (1) identificer, (2) beskyt, (3) opdag, (4) reager og (5) genopret.

 Vi sikrer derfor, at vi både får analyseret på jeres organisatoriske og tekniske foranstaltninger på jeres administrative IT og på jeres operationelle IT (OT/IT). 

Kontakt os for et uforpligtende møde

Klik, og se hvordan I kommer i gang

Væsentlige enheder

  • Energi

  • Transport

  • Bankvirksomhed

  • Finansielle markedsinfrastruktur

  • Sundhed

  • Drikkevand

  • Spildevand

  • Digital infrastruktur

  • Offentlig forvaltning

  • Forvaltning af IKT tjenester

  • Rummet

Vigtige enheder

  • Post

  • Affaldshåndtering

  • Fremstilling produktion og distribution af kemikalier

  • Fremstilling, bearbejdning og distribution af fødevarer

  • Fremstilling

  • Digitale ydelser

  • Forskning

FAQ om NIS2

  • NIS2-direktivet regulerer virksomheder og myndigheder på cyber- og informationssikkerhedsområdet. Direktivet bliver udmøntet i nationale bekendtgørelser og fungerer som bindende lov, hvilket betyder at din organisation vil skulle efterleve kravene i bekendtgørelsen.

    NIS2-direktivet udvider kravene og sanktioneringen af cybersikkerhed for at harmonisere og strømline sikkerhedsniveauet på tværs af medlemslandene, og med skærpede krav for flere sektorer, betyder det, at din organisation skal forholde sig til blandt andet risikostyring, kontrol og tilsyn.

  • NIS2 skal være implementeret i medlemsstaterne senest 17. oktober 2024.

    Ny Net- og Informationssikkerhedsdirektiv (NIS2) er blevet vedtaget af medlemslandene. Medlemsstaterne har herefter 21 måneder til at få implementeret direktivet, hvilket derved vil være senest den 17. oktober 2024, jf. direktivets artikel 41.

    Direktivet er et minimums direktiv. Direktivet er derved ikke til hinder for, at medlemsstaterne vedtager eller opretholder bestemmelser, der sikrer et højere cybersikkerhedsniveau, forudsat at sådanne bestemmelser er i overensstemmelse med medlemsstaternes forpligtelser, der er fastsat i EU-retten, jf. direktivets artikel 5.

  • Formålet med NIS2-direktivet er at styrke og ensarte cybersikkerheden og modstandsdygtigheden overfor cybertrusler på tværs af EU for virksomheder inden for en lang række sektorer og for offentlige institutioner, som anses for at være kritiske for økonomien og samfundet.

    Omfanget af sektorer udvides, da Kommissionen ønsker at dække alle organisationer, der varetager vigtige funktioner i samfundet. Det betyder altså, at NIS2 også vil gælde for sektorer som fødevareproduktion, affaldshåndtering og hele forsyningskæden.

  • NIS2-direktivet stiller krav til en risikobaseret tilgang til cyber- og informationssikkerhed. I praksis betyder det, at jeres organisation skal beskrive en risikoproces, som I skal efterleve. I efterlever processen ved at risikovurdere samtlige af de aktiver, som I har identificeret som værende kritiske for jeres samfundskritiske funktion. Det vil altså sige, at I også skal risikovurdere, jeres forsyningskæde og leverandører.

    Som en del af jeres risikohåndtering skal I implementere forebyggende foranstaltninger, der formindsker jeres risici.

    Det vil minimum være:

    • Awareness

    • Styring af aktiver

    • Hændelseshåndtering

    • Sårbarhedsstyring

    • Sikring af forsyningskæder og IT beredskabsplanlægning

    • Netværkssikkerhed

    • Sikkerhed i udviklingsprocesser

    • Adgangsstyring

    • Kryptering

  • NIS2-direktivet stiller både krav til ledelse, risikostyring, forretningskontinuitet og rapportering til myndighederne:

    • Ledelsen i jeres organisation skal være bekendt med kravene i direktivet og risikostyringsindsatsen. De får et direkte ansvar for, at cyberrisici bliver identificeret og håndteret, samt at kravene overholdes.

    • Øgede krav til risikostyring og robusthed betyder, at din organisation skal risikostyre og implementere både skadesforebyggende og -begrænsende foranstaltninger, der reducerer risici og konsekvenser. Minimumskrav er fx incident management, sikring af cybersikkerhed i forsyningskæder, netværkssikkerhed, adgangskontrol og kryptering.

    • Jeres organisation skal forholde sig til, hvordan I vil sikre forretningskontinuiteten i tilfælde af, at I skulle blive ramt af en større cyberhændelse. Dette indebærer eksempelvis genopretning af systemer, nødprocedurer og etablering af en kriseorganisation.

    • Jeres organisation skal have etableret processer for, hvordan I vil sikre den korrekte rapportering til myndighederne. Der stilles blandt andet krav til, at større hændelser rapporteres inden for 24 timer.

  • Generelt vil NIS2 omfatte sektorer, som håndterer samfundskritiks infrastruktur.

    Der skelnes mellem væsentlige enheder og vigtige enheder. Væsentlige enheder er blandt andet sektorer som energi, transport, bankvirksomheder mm. Hvor vigtige enheder er sektorer som fremstilling, post, affaldssortering mm. Vi har lavet en liste over alle enheder, som du kan se her. Hvis jeres organisation er i tvivl, om I er omfattet NIS2, så kontakt Benjamin Salamon for en uforpligtende samtale.

    Omfanget af sektorer udvides, da Kommissionen ønsker at dække alle organisationer, der varetager vigtige funktioner i samfundet. Det betyder altså, at NIS2 også vil gælde for sektorer som fødevareproduktion, affaldshåndtering og hele forsyningskæden.

    Se listen her

  • Ledelsen i de væsentlige enheder, kan blive holdt ansvarlig for manglende efterlevelse af krav fra tilsynsmyndighederne.

  • Vi anbefaler at man starter i god tid.

    Konkret bør jeres organisation:

    • få identificeret, hvorvidt I vil blive omfattet af direktivet

    • få skabt den nødvendige opbakning fra ledelsen

    • få foretaget en modenhedsvurdering i forhold til kravene i direktivet

    • få implementeret henholdsvis organisatoriske, operationelle og tekniske krav i jeres organisation

    • få etableret den nødvendige viden for at varetage forpligtelserne i ledelsen

    Har I brug for hjælp, er I velkommen til at kontakte partner og konsulent Michael Gadgaard.

IT-strategi

Kontaktperson for IT-strategi

Benjamin Salamon

Email: benjamin@salamon.dk

Telefon: +45 40616828