Skip to main content
Sådan forbereder man sig på NIS2
Blog

Sådan forbereder man sig på NIS2

By 17. november 2023No Comments

Hvad er NIS2?

NIS2 er et europæisk direktiv, der har til formål at sikre et højt fælles niveau af cybersikkerhed på tværs af EU-landene. Direktivet trådte i kraft mandag den 16. januar 2023. Men hvert EU-medlemsland har indtil den 18. oktober 2024 til at integrere det i deres egen nationale lovgivning. Derfor har virksomheder og organisationer stadig lidt tid til at sætte sig ind i direktivet og planlægge, hvordan det skal overholdes.

Bloggen her handler om hvordan man som virksomhed forbereder sig på NIS2. Dette gøres ved at forstå baggrunden for NIS2, hvad er pricnipperne bag direktivet, og hvem gælder reglerne helt præcist for.

Baggrund for NIS2

Den oprindelige NIS – NIS1 om man vil – blev vedtaget i 2016. Det var den første tværsektorielle cybersikkerhedslov i EU. Både NIS og NIS2 har til formål at bidrage til EU’s sikkerhed og til, at EU’s økonomi og samfund fungerer effektivt.

Men det første NIS-direktiv var begrænset i sit omfang og ret konservativ med sin strafudmåling. Direktivet gav også medlemslandene stor frihed til at fastsætte deres egne sikkerhedskrav. Det førte til uoverensstemmelser fra land til land med hensyn til, hvem der skulle opfylde kravene, deres detaljeringsgrad og landets tilsynsmetode.

Disse forskelle mellem landenes cybersikkerhedsstandarder gjorde det mere kompliceret og dyrere at tilbyde varer eller tjenester på tværs af grænserne. Selv om et land havde et højt sikkerhedsniveau, kunne det skabe en risiko for hele EU, når de handler med et mere sårbart land. I sidste ende blev NIS ikke håndhævet i de fleste lande. Af denne grund blev NIS2 oprettet.

Principper for NIS2

Teksten i NIS2 anerkender manglerne i den første NIS. Desuden blev der peget på intensiveringen og den øgede sofistikering af cybertrusler som en grund til at opdatere forordningen.

Sammenlignet med NIS vil NIS2:

  • Gælde for et større antal sektorer og brancher
  • Have større bøder for sikkerhedsbrud
  • Være mere specifik, når cybersikkerheds- og risikostyringsforanstaltninger formuleres
  • Inkludere strengere regler for rapportering af sikkerhedsbrud
  • Tilskynde samarbejdet om cybersikkerhed mellem EU’s medlemslande

Samlet set gør ændringerne i NIS2 direktivet mere konsistent på tværs af EU og bedre til at håndtere nutidens udfordringer.

Modtag vores nyhedsbrev!

I vores nyhedsbrev du får tips og tricks til hvordan du lettere kan håndtere GDPR fra vores grundlægger Sebastian Allerelli.

Når du tilmelder dig vores nyhedsbrev, får du samtidig en gratis licens for én bruger til ShareSimple, som giver dig en e-mail i Outlook. Dette særlige tilbud er kun for nye kunder, med en grænse på én licens pr. virksomhed.

Hvem skal overholde NIS2?

NIS2 gælder for alle organisationer og virksomheder i Den Europæiske Unions (EU) medlemslande. Direktivet opdeler de specifikke kategorier af organisationer, der skal overholde reglerne, i ”essentielle entiteter” og ”vigtige entiteter”. Hvis jeres virksomhed (uanset om den er offentlig eller privat) tilhører en af disse 11 sektorer, kan I være en essentiel entity:

  • Energi
  • Transport
  • Bankvirksomhed
  • Finansiel
  • Sundhed
  • Drikkevand
  • Spildevand
  • Digital infrastruktur
  • IKT-servicestyring
  • Offentlig administration
  • Rumfart

På den anden side er vigtige entiteter offentlige eller private organisationer i disse 9 sektorer:

  • Transport- og fragttjenester
  • Håndtering af affald
  • Fremstilling
  • Produktion og distribution af kemiske produkter
  • Produktion, forarbejdning og distribution af fødevarer
  • Fremstilling af medicinsk udstyr
  • IT, elektroniske og optiske produkter, elektrisk udstyr, maskiner og udstyr, motorkøretøjer og andet transportudstyr), digitale leverandører og forskning

Væsentlige enteties kan til enhver tid undersøges gennem audits og inspektioner, mens vigtige entiteter kun vil blive undersøgt efter en sikkerhedshændelse. Alle mellemstore og store virksomheder skal overholde NIS2. Derudover kan medlemslandene kræve, at mindre virksomheder, der har en høj sikkerhedsrisikoprofil, overholder reglerne, og sikre, at selv enteties, der er udelukket fra anvendelsesområdet, opnår et højt cybersikkerhedsniveau.

Sådan overholder man NIS2

Sammenlignet med for eksempel GDPR er NIS2 meget mere specifik, når den diskuterer de tekniske, operationelle og organisatoriske foranstaltninger, som virksomheder skal indføre for at nedbringe deres sikkerhedsrisici. NIS2 foreskriver, at man foretager en risikobaseret tilgang til cyber- og informationssikkerhed. Tilgangen involverer udførelse af grundige risikovurderinger og GAP-analyser for at identificere sårbarheder, sikkerhedstrusler og de potentielle konsekvenser af et databrud. Det er desuden afgørende, at man også foretager en risikovurdering af jeres forsyningskæde og leverandører.

Som en del af en risikohåndtering skal man implementere forebyggende foranstaltninger. Som minimum skal virksomheder have følgende på plads:

  • Politikker for risikoanalyse og sikkerhed i informationssystemer
  • Politikker for håndtering og rapportering af sikkerhedsbrud
  • En plan for forretningskontinuitet (backup management, disaster recovery og krisestyring)
  • Sikkerhed i forsyningskæden (inkluder sikkerhed i jeres kontrakter med leverandører og serviceudbydere)
  • Sikkerhed i anskaffelse, udvikling og vedligeholdelse af netværk og informationssystemer
  • Politikker og procedurer til at vurdere effektiviteten af jeres risikostyringsforanstaltninger
  • Træning af jeres medarbejdere i grundlæggende datahygiejne og cybersikkerhed
  • Politikker og procedurer for brug af kryptografi og, hvor det er relevant
  • Sikkerhed for menneskelige ressourcer, adgangskontrolpolitikker og forvaltning af aktiver
  • Brug af multifaktor-autentificering eller kontinuerlige autentificeringsløsninger, sikret tale-, video- og tekstkommunikation og sikrede nødkommunikationssystemer internt, hvor det er relevant.

Alle disse foranstaltninger har naturligvis til formål at reducere risikoen og forhindre eller minimere deres indvirkning på forbrugeren af jeres produkt eller tjenester. Da der er tale om minimumskrav, kan de enkelte lande supplere dem, når de vedtager forordningen. Alle virksomheder, der vil falde ind under NIS2’s anvendelsesområde, bør i det mindste begynde at indføre disse sikkerhedsforanstaltninger.

Sådan rapporterer man et brud på NIS2

I bør rapportere alle sikkerhedshændelser til Datatilsynet, som er den danske datamyndighed. Når man rapportere en sikkerhedshændelse er der som udgangspunkt tre trin:

  1. Send en tidlig advarsel inden for de første 24 timer
  2. Gennemfør en indledende vurdering inden for 72 timer
  3. Udarbejd en endelig, detaljeret rapport senest en måned efter jeres første vurdering

Jeres endelige rapport skal indeholde følgende:

  • En detaljeret beskrivelse af hændelsen, herunder dens alvor og konsekvenser.
  • Den type trussel eller grundlæggende årsag, der sandsynligvis har udløst hændelsen.
  • Anvendte og igangværende afhjælpende foranstaltninger.
  • Eventuelle grænseoverskridende konsekvenser for hændelsen

Hvis hændelsen stadig ikke er løst på tidspunktet for denne endelige rapport, skal I muligvis indsende en statusrapport og endnu en endelig rapport inden for en måned efter, at hændelsen er løst.

NIS2-bøder

Hvert medlemsland fastsætter sin egen maksimale bøde baseret på en procentdel af virksomhedens globale årlige omsætning. Som beskrevet i NIS2 er rammen for disse.

  • Essentielle entiteter: En maksimal bøde på mindst 2% af den globale årlige omsætning.
  • Vigtige entiteter: En maksimal bøde på mindst 1,4% af den globale årlige omsætning.

Er I en essentielle entity kan den administrerende direktør eller juridiske repræsentanter også midlertidigt suspenderes fra at udøve deres ledelsesfunktioner efter en sikkerhedshændelse, og myndighederne kan udpege en tilsynsførende til at overtage vedkommendes rolle fremadrettet.

Vil I have GDPR-ryddet op i jeres mails?

Med et GDPR Risiko-scan af DataMapper kan I få scannet alle Outlook-konti i jeres virksomhed. I vil få nøglestatistik om alle (nuværende og tidligere) medarbejderes mails – herunder oplysninger om hvilke mails, medarbejdere og processer, der genererer GDPR-risiko.

Læs mere

Den smarte måde at forberede sig på NIS2

At forberede sig på NIS2-direktivet manuelt er en tidskrævende opgave. Mange virksomheder oplever det som en overvældende opgave, og at de mangler ressourcerne til det. Det kan dog være endnu mere ressourcekrævende ikke overholde reglerne. Sikkerhedshændelser kan forstyrre jeres virksomhedsdrift, koste jer penge og underminere kundernes tillid til jer.

Hvis I leder efter en nem måde at forberede jer på NIS2, så kig nærmere på vores Data Discovery-værktøj. Med DataMapper kan I understøtte en risikobaseret tilgang til jeres informationssikkerhed. DataMapper gør jer i stand til at udarbejde grundige risikovurderinger og GAP-analyser med henblik på at identificere huller i jeres datasikkerhed. DataMapper kan nemlig give jer svaret på hvilke følsomme oplysninger, I har. I kan se hvilken type oplysninger er, hvem der har dem, hvilke systemer og mapper de ligger i og meget mere. Dette giver jer fundamentet til at nedbringe jeres risici og ultimativt leve op til NIS2-direktivet.

Udforsk DataMapper

Sebastian Allerelli

Founder & COO hos Safe Online
Specialist i Ledelse, Risiko og GDPR

Følg mig på LinkedIn for at få små tips til GDPR her →