Hvad er NIS2?

NIS2 er et europæisk direktiv, der har til formål at sikre et højt fælles niveau af cybersikkerhed på tværs af EU-landene. Direktivet trådte i kraft mandag den 16. januar 2023. Men hvert EU-medlemsland har indtil den 18. oktober 2024 til at integrere det i deres egen nationale lovgivning. Derfor har virksomheder og organisationer stadig lidt tid til at sætte sig ind i direktivet og planlægge, hvordan det skal overholdes.

Bloggen her handler om NIS2. Her vil vi komme ind på direktivets baggrund, principper, forhold til GDPR, målgruppe og dets krav til virksomheder m.m.

NIS står for Network and Information Security Directive, og den første udgave NIS – NIS1 om man vil – blev vedtaget i 2016. Det var den første tværsektorielle datalovgivning om cybersikkerhed i EU. Både NIS og NIS2 har til formål at bidrage til EU’s sikkerhed og til, at EU’s økonomi og samfund fungerer effektivt.

Men det første NIS-direktiv var begrænset i sit omfang og ret konservativ med sin strafudmåling. Direktivet gav også medlemslandene stor frihed til at fastsætte deres egne sikkerhedskrav. Det førte til uoverensstemmelser fra land til land med hensyn til, hvem der skulle opfylde kravene, deres detaljeringsgrad og landets tilsynsmetode. Forskelle mellem landenes cybersikkerhedsstandarder gjorde det mere kompliceret og dyrere at tilbyde varer eller tjenester på tværs af grænserne. Selv om et land havde et højt sikkerhedsniveau, kunne det skabe en risiko for hele EU, når landet handlede med et mere sårbart land uden for EU. I sidste ende blev NIS ikke håndhævet i de fleste lande.

Herudover viste den første NIS sig også hurtigt at være utilstrækkelig i forhold til at besvare spørgsmål vedrørende nye teknologier og omstændigheder som kunstig intelligens, deep fake, cyberkrigsførsel og udbredelse af hjemmearbejdespladsen efter COVID19.

Af disse grunde blev NIS2 oprettet.

Mens NIS2 er et initiativ for at styrke den europæiske cybersikkerhed, fokuserer GDPR på beskyttelse af europæisk data. GDPR stiller kravene til, hvordan EU-medlemslande håndterer persondata. Formålet med NIS2 at derimod at sikre, at alle europæiske virksomheder og organisationer, opretholder et passende niveau af cybersikkerhed. De to regelsæt har således flere områder, hvor de overlapper hinanden.

Teksten i NIS2 er, som nævnt, baseret ud fra manglerne i den første NIS. Hertil kommer, at man ønsker dels at dæmme op for intensiveringen af cybertrusler klæde virksomheder på tværs af EU bedre til at håndtere nutidens udfordringer. Sammenlignet med NIS vil NIS2:

• Gælde for et større antal sektorer og brancher
• Have større bøder for sikkerhedsbrud
• Være mere specifik, når cybersikkerheds- og risikostyringsforanstaltninger formuleres
• Inkludere strengere regler for rapportering af sikkerhedsbrud
• Tilskynde samarbejdet om cybersikkerhed mellem EU’s medlemslande

NIS2-direktivet omfatter fire principper med henblik på at styrke cyber- og informationssikkerheden for virksomheder på tværs af EU’s medlemslande:

• Risikostyring: NIS2 foreskriver, at man implementerer en risikobaseret tilgang til cyber- og informationssikkerhed. Tilgangen involverer udførelse af grundige risikovurderinger og GAP-analyser for at identificere sårbarheder, sikkerhedstrusler og de potentielle konsekvenser af et databrud. Det er desuden afgørende, at man også foretager en risikovurdering af sin forsyningskæde og leverandører.
• Ansvarsplacering: NIS2 pålægger ledere på C-niveau øget ansvar. Direktivet kræver, at ledelsen aktivt overvåger, godkender, uddanner sig i og håndterer risici vedrørende organisationens cybersikkerhed. Undlader de at opfylde disse krav, kan de stilles personligt ansvarlige, hvilket kan medføre sanktioner såsom suspension fra ledelsespositioner.
• Rapportering: Direktivet indeholder detaljerede krav vedrørende rapportering af sikkerhedsbrud, hvilket vil blive uddybet senere i dette blogindlæg. Det er afgørende for organisationer at etablere effektive processer, der muliggør hurtig rapportering af sikkerhedsbrud.
• Forretningskontinuitet: Udbydere af essentielle tjenester skal udarbejde planer for at opretholde tjenester under større sikkerhedshændelser, herunder systemgendannelse, nødprocedurer og etablering af kriseberedskabsteams.

NIS2 gælder for alle organisationer og virksomheder i Den Europæiske Unions (EU) medlemslande. Direktivet opdeler de specifikke kategorier af organisationer, der skal overholde reglerne, i henholdsvis essentielle entiteter og vigtige entiteter.

Hvis jeres virksomhed (uanset om den er offentlig eller privat) tilhører en af disse 11 sektorer, kan I være en “essentiel entitet”:

• Energi
• Transport
• Bankvirksomhed
• Finansiel
• Sundhed
• Drikkevand
• Spildevand
• Digital infrastruktur
• IKT-servicestyring
• Offentlig administration
• Rumfart

Herudover er der “vigtige entiteter”, som er opdelt i disse 9 sektorer:

• Transport- og fragttjenester
• Håndtering af affald
• Fremstilling
• Produktion og distribution af kemiske produkter
• Produktion, forarbejdning og distribution af fødevarer
• Fremstilling af medicinsk udstyr
• IT, elektroniske og optiske produkter, elektrisk udstyr, maskiner og udstyr, motorkøretøjer og andet transportudstyr), digitale leverandører og forskning

Essentielle entiteter kan til enhver tid undersøges gennem audits og inspektioner, mens vigtige entiteter kun vil blive undersøgt efter en sikkerhedshændelse. Alle mellemstore og store virksomheder skal overholde NIS2. Derudover kan medlemslandene kræve, at mindre virksomheder, der har en høj sikkerhedsrisikoprofil, overholder reglerne, og sikre, at selv enteties, der er udelukket fra anvendelsesområdet, opnår et højt cybersikkerhedsniveau.

Ifølge Dansk Standard er ISO27001 en god standard at følge for at overholde kravene i NIS2. ISO27001 leverer nemlig de nødvendige redskaber og procedurer til at imødekomme krav til en virksomheds cyber- og informationssikkerhed, som er relevante i forhold til at leve op til NIS2-direktivet. Det skal siges, at man behøver ikke bruge ISO27001 som reference. Det centrale for at overholde NIS2 er, at man arbejder struktureret med sin informationssikkerhed. 

I ISO27001 er der en række minimumkrav for en virksomheds informationssikkerhed, man skal implementere. Disse omfatter:

1. Risikovurderinger og sikkerhedspolitik for informationssystemer
2. En plan for håndtering af et sikkerhedsbrud
3. En plan for forretningskontinuitet (backup management, disaster recovery og krisestyring)
4. Sikkerhed i forsyningskæden (inkl. sikkerhed i kontrakter med leverandører og serviceudbydere)
5. Sikkerhed omkring indkøb, udvikling og drift af systemer
6. Politikker og procedurer til evaluering af effektiviteten af sikkerhedsforanstaltninger
7. Træning af medarbejdere i grundlæggende datahygiejne og cybersikkerhed
8. Brug af kryptografi og kryptering
9. Adgangskontrol og regler for følsomme samt anden vigtig data
10. Brug af multifaktor-autentificering eller kontinuerlige autentificeringsløsninger, sikret tale-, video- og tekstkommunikation og sikrede nødkommunikationssystemer internt, hvor det er relevant

Minimumskravene har naturligvis til formål at reducere risikoen og forhindre eller minimere deres indvirkning på forbrugeren. Da der er tale om minimumskrav, kan de enkelte lande i EU supplere dem, når de vedtager forordningen. Som udgangspunkt skal en virksomhed, som agter at overholde NIS2, implementere disse sikkerhedsforanstaltninger, men kravene til virksomheden vil variere afhængigt af virksomhedens størrelse, samfundsrolle og eksponeringsniveau. Dette er med til at sikre, at mindre virksomheder ikke påvirkes uproportionalt, og at kravene for større virksomheder afspejler deres rolle i samfundet.

At forberede sig på NIS2-direktivet er en tidskrævende opgave. Mange virksomheder oplever det som overvældende og ressourcekrævende. Men det kan dog koste endnu mere ikke at overholde reglerne. Et brud på datasikkerheden kan forstyrre jeres forretning, koste jer pengebøder og ødelægge kundernes tillid til jer.

Hvis I leder efter en måde at forberede jer på hele NIS2-direktivet, så tag fat i en rådgivningsvirksomhed som eksempelvis BDO Danmark. Når det specifikt gælder håndtering af følsomme oplysninger, som falder ind under NIS2, er vi derimod specialister. Læs her, hvordan vi kan hjælpe.