Hvad er NIS2?
Hvad siger NIS2-direktivet?
Er du NIS2-forvirret?
Eller har du endnu ikke helt sat dig ind i, hvad det betyder for din virksomhed?
Lad os forsøge at forklare de nye cyber- og informationssikkerhedskrav, som du – ifølge eksperterne – bør sætte dig ind i og gå i gang med at forberede allerede nu.
Hvad er NIS2?
NIS 2 er en udvidelse af NIS1-kravene om cybersikkerhed og GDPR fra 2016, og din virksomhed eller organisation er omfattes af NIS2-direktivet og den kommende lovgivning, hvis:
- Den hører til indenfor de NIS2-omfattede 18 sektorer (NIS1 omfattede kun 6), og
- I beskæftiger over 50 medarbejdere eller omsætter for mere end EUR 10 mio. årligt, eller
- Jeres aktiviteter, virksomhed eller organisation:
- betragtes som samfundskritiske eller -økonomiske
- omfatter offentlig sikkerhed eller folkesundhed
- ved forstyrrelser kan medføre væsentlige systemiske risici
- har kritisk national eller regional betydning
- er offentlig forvaltning
- er defineret som CER-kritiske enheder.
Hvem er omfattet af NIS2?
De 6 NIS1-omfattede sektorer var:
Energi – Transport – Banker – Digital infrastruktur – Digitale Tjenesteudbydere – Sundhed.
De nye 12 nye NIS2-tilføjede sektorer er:
Fremstillingsvirksomheder – Fødevarer – Kemikalier – Drikkevand – Spildevand – Affaldshåndtering – Post og kurer – Forskning – Offentlig forvaltning – Forvaltning af IKT-tjenester – Finansielle markedsinfrastrukturer – Rummet.
For nogle virksomheder og organisationer er det tydeligt, at de vil være omfattet af NIS2, mens andre er usikre på, om de er det. Her råder eksperterne til at I rådfører jer med en advokat og den vej får klarhed for NIS2 og jeres virksomhed.
Bemærk at det er de enkelte virksomheder og organisationers egen pligt at finde ud af, om de er omfattet af NIS2.
Hvad skal I leve op til, hvis virksomheden er omfattet af NIS2?
Er virksomheden eller organisationen omfattet af NIS2, er det en rigtig god ide at komme i gang nu. Der venter et stort arbejde forude, selv hvis I hidtil har været omfattet af NIS1 eller er ISO27001/2-certificerede.
For til oktober 2024 skal myndighederne være klar til at håndtere lovgivningen, sanktionere og udstede bøder til virksomheder og organisationer, der ikke lever op til lovgivningen.
Og hvad er det så man skal leve op til som NIS2-omfattet virksomhed eller organisation?
Det er for det første NIS1-kravene:
- at sørge for informationssikkerhed i virksomheden/organisationen og løbende gennemføre dækkende og aktuelle sikkerhedsvurderinger. Har I en 7 år gammel vurdering, er denne altså ikke tilstrækkelig.
- at implementere sikkerhedsforanstaltninger målrettet de identificerede persondata risici (GDPR).
Dertil kommer de med NIS2 helt nye krav:
- at vurdere hvilke risici jeres evt. manglende forsyning til samfundet udgør – inkl. risici ved jeres leverandørers evt. manglende forsyning til jer.
Bemærk her, at lovgivningen kun omhandler jeres driftskritiske aktiviteter, processer, mennesker, teknologier og leverandører. De aktiviteter, der ved sikkerhedsbrud påvirker den kritiske infrastruktur, forsyningskæder eller andre samfundsvigtige funktioner.
Nye sikkerhedskrav
De nye sikkerhedskrav omfatter følgende nye områder:
- Overvågning og hændelseshåndtering
I skal både kunne håndtere og identificere sikkerhedshændelser, have styr på back-up styring og reetablering, og have jeres krisestyringsplaner på plads – ikke kun IT-mæssigt, men også rent operationelt.
- Supply chain
Se på jeres forsyningskæde. Hvem er jeres kritiske leverandører? Hvad sker der hvis deres leverancer svigter, og hvordan hjælper I dem – og dermed jer selv – op igen og tilbage i drift? I husker sikkert da alle toge i Danmark holdt stille i efteråret 2022, da en af DSBs kritiske leverandører blev hackerangrebet, hvilket forhindrede DSB i at levere deres togydelser.
- Applikationssikkerhed
Køb, udvikling og vedligehold af applikationer – inkl. patch management. I bør identificere, hvilke sårbarheder der kan opstå og planlægge, hvordan I vil håndtere dem.
- Grundlæggende sikkerhedstiltag.
Cyberhygiejne og -uddannelse af ledere og medarbejdere. Personalesikkerhed, adgangskontrol og forvaltning af aktiver. Multifaktorautentificering, kryptering, sikkerhed i kommunikation og nødkommunikationssystemer.
Krav om underretning
Endelig stiller den nye lovkrav om underretning. Formålet er at undgå at andre rammes af hændelser, der rammer jer. Det skal ske ved at:
- I skal indenfor 24 timer varsle til CSIRT, at der er sket en hændelse i jeres systemer
- Indenfor 72 timer skal I indsende en underretning
- Indenfor 1 måned skal I indsende en rapport.
Det stiller ekstra krav til overvågning – og til døgn- og weekendovervågning – i jeres virksomheder og organisationer.
NIS2 stiller også nye krav til myndighederne
Den nye lovgivning stiller også krav til myndighederne, der fra oktober 2024 skal:
- Indenfor 24 timer besvare virksomheders og organisationers varsling af opståede kritiske sikkerhedshændelser – og tilbyde teknisk bistand og vejledning, hvis dette ønskes. Det stiller også krav til myndighederne om døgn- og weekendovervågning, og til deres sikkerhedsmæssige kompetencer.
- Føre reaktivt – og i nogle tilfælde proaktivt – tilsyn med de NIS2-omfattede virksomheder og organisationer, hvis de ser tegn på manglende overholdelse af lovgivningen. Denne nye håndhævelsespligt kan udover påbud, advarsler, instruktioner mm, betyde udpegelse af en overvågningsansvarlig person til øget tilsyn i en fast periode og evt. i form af en projektleder med fast plads i virksomheden eller organisationen. Eller det kan medføre krav om offentliggørelse af dele af virksomhedens eller organisationens manglende overholdelse af lovgivningen.
- Iværksætte sanktioner, hvis ovenstående ikke har den ønskede virkning. Fx kan myndighederne midlertidigt suspendere en ansøgt certificering eller godkendelse, eller midlertidigt forbyde fysiske personer med direktionsansvar at lede virksomheden.
NIS2-direktivet introducerer nye krav inden for cyber- og informationssikkerhed, som virksomheder og organisationer skal overholde, udvider NIS1-kravene og omfatter nu 18 sektorer.
Hvis jeres virksomhed eller organisation opfylder visse kriterier, såsom antal medarbejdere eller omsætning, samfundsmæssig betydning eller involvering i kritisk infrastruktur, skal I være opmærksomme på NIS2-direktivet og forberede jer i god tid.
Lovgivningen kræver, at I implementerer sikkerhedsforanstaltninger, vurderer risici ved forsyningssvigt, har styr på hændelseshåndtering og leverandørkæde, sikrer applikationssikkerhed og tager grundlæggende sikkerhedstiltag.
Derudover skal I være i stand til at underrette myndighederne om sikkerhedshændelser inden for kort tid.
Det er vigtigt at forstå NIS2-direktivet og dets krav for at sikre cybersikkerhed og beskytte samfundsvigtige funktioner. Vi håber at dette indlæg kan hjælpe jer på vej.
Vil du læse mere om EU-direktivet, får du et link til EU-Kommisionens side her.
Se også vores tidligere indlæg om, hvordan du bygger sikkerhedsgrænser i industrielle systemer her.
Og vores NIS2-guide til produktionsvirksomheder.
Har du brug for hjælp, så tag fat i Poul eller Søren her.