Skip to main content

Hvad er NIS2?

NIS2 er et europæisk direktiv, der har til formål at sikre et højt fælles niveau af cybersikkerhed på tværs af EU-landene. Direktivet trådte i kraft mandag den 16. januar 2023. Men hvert EU-medlemsland har indtil den 18. oktober 2024 til at integrere det i deres egen nationale lovgivning. Derfor har virksomheder og organisationer stadig lidt tid til at sætte sig ind i direktivet og planlægge, hvordan det skal overholdes.

Bloggen her handler om NIS2. Her vil vi komme ind på direktivets baggrund, principper, forhold til GDPR, målgruppe og dets krav til virksomheder m.m.

Baggrund for NIS2

NIS står for Network and Information Security Directive, og den første udgave NIS – NIS1 om man vil – blev vedtaget i 2016. Det var den første tværsektorielle datalovgivning om cybersikkerhed i EU. Både NIS og NIS2 har til formål at bidrage til EU’s sikkerhed og til, at EU’s økonomi og samfund fungerer effektivt.

Men det første NIS-direktiv var begrænset i sit omfang og ret konservativ med sin strafudmåling. Direktivet gav også medlemslandene stor frihed til at fastsætte deres egne sikkerhedskrav. Det førte til uoverensstemmelser fra land til land med hensyn til, hvem der skulle opfylde kravene, deres detaljeringsgrad og landets tilsynsmetode. Forskelle mellem landenes cybersikkerhedsstandarder gjorde det mere kompliceret og dyrere at tilbyde varer eller tjenester på tværs af grænserne. Selv om et land havde et højt sikkerhedsniveau, kunne det skabe en risiko for hele EU, når landet handlede med et mere sårbart land uden for EU. I sidste ende blev NIS ikke håndhævet i de fleste lande.

Herudover viste den første NIS sig også hurtigt at være utilstrækkelig i forhold til at besvare spørgsmål vedrørende nye teknologier og omstændigheder som kunstig intelligens, deep fake, cyberkrigsførsel og udbredelse af hjemmearbejdespladsen efter COVID19.

Af disse grunde blev NIS2 oprettet.

Forskellen på GDPR og NIS2

Mens NIS2 er et initiativ for at styrke den europæiske cybersikkerhed, fokuserer GDPR på beskyttelse af europæisk data. GDPR stiller kravene til, hvordan EU-medlemslande håndterer persondata. Formålet med NIS2 at derimod at sikre, at alle europæiske virksomheder og organisationer, opretholder et passende niveau af cybersikkerhed. De to regelsæt har således flere områder, hvor de overlapper hinanden.

Dette siger NIS2

Teksten i NIS2 er, som nævnt, baseret ud fra manglerne i den første NIS. Hertil kommer, at man ønsker dels at dæmme op for intensiveringen af cybertrusler klæde virksomheder på tværs af EU bedre til at håndtere nutidens udfordringer. Sammenlignet med NIS vil NIS2:

  • Gælde for et større antal sektorer og brancher
  • Have større bøder for sikkerhedsbrud
  • Være mere specifik, når cybersikkerheds- og risikostyringsforanstaltninger formuleres
  • Inkludere strengere regler for rapportering af sikkerhedsbrud
  • Tilskynde samarbejdet om cybersikkerhed mellem EU’s medlemslande

NIS2-direktivet omfatter fire principper med henblik på at styrke cyber- og informationssikkerheden for virksomheder på tværs af EU’s medlemslande:

  • Risikostyring: NIS2 foreskriver, at man implementerer en risikobaseret tilgang til cyber- og informationssikkerhed. Tilgangen involverer udførelse af grundige risikovurderinger og GAP-analyser for at identificere sårbarheder, sikkerhedstrusler og de potentielle konsekvenser af et databrud. Det er desuden afgørende, at man også foretager en risikovurdering af sin forsyningskæde og leverandører.
  • Ansvarsplacering: NIS2 pålægger ledere på C-niveau øget ansvar. Direktivet kræver, at ledelsen aktivt overvåger, godkender, uddanner sig i og håndterer risici vedrørende organisationens cybersikkerhed. Undlader de at opfylde disse krav, kan de stilles personligt ansvarlige, hvilket kan medføre sanktioner såsom suspension fra ledelsespositioner.
  • Rapportering: Direktivet indeholder detaljerede krav vedrørende rapportering af sikkerhedsbrud, hvilket vil blive uddybet senere i dette blogindlæg. Det er afgørende for organisationer at etablere effektive processer, der muliggør hurtig rapportering af sikkerhedsbrud.
  • Forretningskontinuitet: Udbydere af essentielle tjenester skal udarbejde planer for at opretholde tjenester under større sikkerhedshændelser, herunder systemgendannelse, nødprocedurer og etablering af kriseberedskabsteams.

Hvem skal overholde NIS2?

NIS2 gælder for alle organisationer og virksomheder i Den Europæiske Unions (EU) medlemslande. Direktivet opdeler de specifikke kategorier af organisationer, der skal overholde reglerne, i henholdsvis essentielle entiteter og vigtige entiteter.

Hvis jeres virksomhed (uanset om den er offentlig eller privat) tilhører en af disse 11 sektorer, kan I være en “essentiel entitet”:

  • Energi
  • Transport
  • Bankvirksomhed
  • Finansiel
  • Sundhed
  • Drikkevand
  • Spildevand
  • Digital infrastruktur
  • IKT-servicestyring
  • Offentlig administration
  • Rumfart

Herudover er der “vigtige entiteter”, som er opdelt i disse 9 sektorer:

  • Transport- og fragttjenester
  • Håndtering af affald
  • Fremstilling
  • Produktion og distribution af kemiske produkter
  • Produktion, forarbejdning og distribution af fødevarer
  • Fremstilling af medicinsk udstyr
  • IT, elektroniske og optiske produkter, elektrisk udstyr, maskiner og udstyr, motorkøretøjer og andet transportudstyr), digitale leverandører og forskning

Essentielle entiteter kan til enhver tid undersøges gennem audits og inspektioner, mens vigtige entiteter kun vil blive undersøgt efter en sikkerhedshændelse. Alle mellemstore og store virksomheder skal overholde NIS2. Derudover kan medlemslandene kræve, at mindre virksomheder, der har en høj sikkerhedsrisikoprofil, overholder reglerne, og sikre, at selv enteties, der er udelukket fra anvendelsesområdet, opnår et højt cybersikkerhedsniveau.

Vil du vide mere om NIS2?

I vores nyhedsbrev du får tips og tricks til hvordan du lettere kan håndtere GDPR fra vores grundlægger Sebastian Allerelli.

Når du tilmelder dig vores nyhedsbrev, får du samtidig en gratis licens for én bruger til ShareSimple, som giver dig en e-mail i Outlook. Dette særlige tilbud er kun for nye kunder, med en grænse på én licens pr. virksomhed.

Minimumkrav for at overholde NIS2

Ifølge Dansk Standard er ISO27001 en god standard at følge for at overholde kravene i NIS2. ISO27001 leverer nemlig de nødvendige redskaber og procedurer til at imødekomme krav til en virksomheds cyber- og informationssikkerhed, som er relevante i forhold til at leve op til NIS2-direktivet. Det skal siges, at man behøver ikke bruge ISO27001 som reference. Det centrale for at overholde NIS2 er, at man arbejder struktureret med sin informationssikkerhed. 

I ISO27001 er der en række minimumkrav for en virksomheds informationssikkerhed, man skal implementere. Disse omfatter:

  1. Risikovurderinger og sikkerhedspolitik for informationssystemer
  2. En plan for håndtering af et sikkerhedsbrud
  3. En plan for forretningskontinuitet (backup management, disaster recovery og krisestyring)
  4. Sikkerhed i forsyningskæden (inkl. sikkerhed i kontrakter med leverandører og serviceudbydere)
  5. Sikkerhed omkring indkøb, udvikling og drift af systemer
  6. Politikker og procedurer til evaluering af effektiviteten af sikkerhedsforanstaltninger
  7. Træning af medarbejdere i grundlæggende datahygiejne og cybersikkerhed
  8. Brug af kryptografi og kryptering
  9. Adgangskontrol og regler for følsomme samt anden vigtig data
  10. Brug af multifaktor-autentificering eller kontinuerlige autentificeringsløsninger, sikret tale-, video- og tekstkommunikation og sikrede nødkommunikationssystemer internt, hvor det er relevant

Minimumskravene har naturligvis til formål at reducere risikoen og forhindre eller minimere deres indvirkning på forbrugeren. Da der er tale om minimumskrav, kan de enkelte lande i EU supplere dem, når de vedtager forordningen. Som udgangspunkt skal en virksomhed, som agter at overholde NIS2, implementere disse sikkerhedsforanstaltninger, men kravene til virksomheden vil variere afhængigt af virksomhedens størrelse, samfundsrolle og eksponeringsniveau. Dette er med til at sikre, at mindre virksomheder ikke påvirkes uproportionalt, og at kravene for større virksomheder afspejler deres rolle i samfundet.

Sådan rapporterer man et brud på NIS2

NIS2-direktivet introducerer klarere og mere specifikke retningslinker for, hvordan virksomheder og organisationer skal rapportere brud på deres datasikkerhed over for landets datamyndigheder. Enhver rapportering skal først og fremmest ske til Datatilsynet, som er den danske datamyndighed. Når man rapporterer en sikkerhedshændelse er der som udgangspunkt tre trin:

  1. Send en tidlig advarsel inden for de første 24 timer
  2. Gennemfør en indledende vurdering inden for 72 timer
  3. Udarbejd en endelig, detaljeret rapport senest en måned efter jeres første vurdering

Jeres endelige rapport skal indeholde følgende:

  • En detaljeret beskrivelse af hændelsen, herunder dens alvor og konsekvenser.
  • Den type trussel eller grundlæggende årsag, der sandsynligvis har udløst hændelsen.
  • Anvendte og igangværende afhjælpende foranstaltninger.
  • Eventuelle grænseoverskridende konsekvenser for hændelsen

Hvis hændelsen stadig ikke er løst på tidspunktet for denne endelige rapport, skal I muligvis indsende en statusrapport og endnu en endelig rapport inden for en måned efter, at hændelsen er løst.

NIS2-bøder

Hvert medlemsland fastsætter sin egen maksimale bøde baseret på en procentdel af virksomhedens globale årlige omsætning. Som beskrevet i NIS2 er rammen for disse.

  • Essentielle entiteter: En maksimal bøde på mindst 2% af den globale årlige omsætning.
  • Vigtige entiteter: En maksimal bøde på mindst 1,4% af den globale årlige omsætning.

Er I en essentielle entity kan den administrerende direktør eller juridiske repræsentanter også midlertidigt suspenderes fra at udøve deres ledelsesfunktioner efter en sikkerhedshændelse, og myndighederne kan udpege en tilsynsførende til at overtage vedkommendes rolle fremadrettet.

Start GDPR-oprydningen hvor det trænger mest

Følsomme data kan let ophobe sig i medarbejdernes mails. Med et GDPR Risiko-scan fra DataMapper får I en rapport, der viser potentielle GDPR-risici i virksomhedens Outlook-konti.

Forberedelse på NIS2

At forberede sig på NIS2-direktivet er en tidskrævende opgave. Mange virksomheder oplever det som overvældende og ressourcekrævende. Men det kan dog koste endnu mere ikke at overholde reglerne. Et brud på datasikkerheden kan forstyrre jeres forretning, koste jer pengebøder og ødelægge kundernes tillid til jer.

Hvis I leder efter en måde at forberede jer på hele NIS2-direktivet, så tag fat i en rådgivningsvirksomhed som eksempelvis BDO Danmark. Når det specifikt gælder håndtering af følsomme oplysninger, som falder ind under NIS2, er vi derimod specialister. Læs her, hvordan vi kan hjælpe.

Sebastian Allerelli

Grundlægger & COO hos Safe Online
Specialist i Ledelse, Risiko og GDPR

Følg mig på LinkedIn for at få små tips til GDPR her →

GUIDE

Håndtering af følsomme persondata

GUIDE

Sådan findes persondata med Datamapping

GUIDE

Forberedelse til et datatilsyn