Cybersikkerhed: Sådan bliver I klar til NIS2-direktivet

– Mia Louise Bukholt, Principal Cybersecurity Consultant, & Michael Rask Christensen, Principal Cybersecurity Consultant, NNIT

Med EU’s NIS2-direktiv bliver kravene til virksomheders cybersikkerhed væsentligt skærpet. De nye omfattende regler vil gælde for langt flere virksomheder og brancher end tidligere, ligesom bødestørrelserne vokser. Her fortæller vi, hvordan I kan forberede jer på de nye krav.

I vores digitale tidsalder er cybersikkerhedstruslen en væsentlig bekymring for både virksomheder, regeringer og enkeltpersoner. Og det er netop det, der ligger til grund for EU’s opdatering af det tidligere NIS direktiv til NIS2. Her giver vi dig og din virksomhed svar på nogle af de væsentligste spørgsmål om det vidtrækkende direktiv.

Hvad er NIS2-direktivet?

NIS2 udvider kravene og sanktioneringen af cybersikkerhed for at harmonisere og strømline sikkerhedsniveauet på tværs af medlemslandene. Direktivet bygger videre på EU's tidligere regler for cybersikkerhed fra 2016 (NIS) og udvider mængden af virksomheder og brancher, der vurderes at være af såkaldt samfundskritisk betydning.

Samtidig med at kravene til virksomheders cyberberedskab øges, stiger også de potentielle sanktioner, ligesom de enkelte medlemslande også skal skærpe tilsyn og kontrollen med, at reglerne efterleves.  

For jer som virksomhed betyder NIS2-direktivet, at I skal forberede jer på nye og større krav til ledelsens ansvar for risikostyring, forretningskontinuitet og rapportering til myndighederne.

Hvem er omfattet af NIS2-direktivet?

NIS2 kommer til at gælde for langt flere virksomheder end tidligere. Hvor det gamle direktiv omfattede virksomheder i syv sektorer, kommer de nye regler til at gælde for 16-18 sektorer. I tabellen nederst på siden kan du se, hvilke sektorer der er omfattet.

Ifølge en undersøgelse gennemført af Industriens Fond vil over 1.000 danske virksomheder bliver omfattet af NIS2 (hvor det tidligere blot var 150 virksomheder, der var omfattet). At kredsen af omfattede virksomheder udvides skyldes blandt andet, at direktivet introducerer kædeansvar, som gør at underleverandører til NIS2 -virksomheder skal kunne redegøre for deres håndtering af it-sikkerhed.

Hvilke krav stiller NIS2 til jeres virksomhed?

NIS2 opstiller en række såkaldte minimumskrav, som skal efterleves. Med minimumskrav forstås, at de enkelte medlemslande har mulighed for at vedtage højere standarder. Allerede i dag er der virksomheder indenfor eksempelvis energisektoren, der er underlagt strengere krav, end det som er beskrevet i NIS og i den kommende NIS2.

Groft sagt kan direktivet inddeles i fire kategorier:

Hvornår træder NIS2 i kraft?

Direktivet er vedtaget ved udgangen af 2022, og herefter har EU's medlemslande 21 måneder til at implementere direktivet i egen lovgivning. Det vil sige, at medlemslandene skal have national lovgivning på plads senest den 17. oktober 2024.

Indtil videre vides ikke, hvornår bekendtgørelserne er på plads i Danmark, men hos NNIT er vores klare anbefaling at komme i gang med forberedelsesarbejdet hurtigst muligt.

Hvad sker der med virksomheder, der ikke lever op til NIS2?

I NIS2-direktivet er bødestørrelserne hævet væsentligt i forhold til tidligere. Størrelsen af en bøde afhænger af, om jeres virksomhed tilhører kategorien ”Særlig kritisk betydning” eller ”Andre kritiske sektorer” (se tabellen nederst på siden). For førstnævnte kategori af virksomheder kan der idømmes bøder på op til €10.000.000 eller 2% af den samlede internationale omsætning. For den anden kategori går bøderne op til €7.000.000 eller 1,4% af den samlede internationale omsætning.

Samtidig kan det blive en bekostelig affære for virksomheder, der venter for længe med at begynde forberedelserne til NIS2. Særligt for virksomheder, der ikke tidligere har været omfattet, vil arbejdet kræve både tid og ressourcer.

Hvad kan du som virksomhed gøre for at blive klar til NIS2?

Hvis jeres virksomhed er omfattet af reglerne i NIS2-direktivet (eller muligvis er omfattet), anbefaler vi at komme i gang hurtigst muligt.

Vi anbefaler, at jeres virksomhed får styr på:

1. Er I omfattet eller ej?
Et første skridt er at afklare, om jeres virksomhed er omfattet af NIS2-direktivet – altså om I arbejder indenfor de kritiske sektorer, som skal have styr på cybersikkerheden (se tabel nederst). Hvis jeres virksomhed var omfattet af forgængeren til NIS2 (NIS), kan I med fordel starte med at lave en gap-analyse for at afklare, hvad I mangler. Men selv, hvis jeres virksomhed ikke er direkte omfattet, kan I alligevel blive påvirket, hvis I er leverandør til en virksomhed indenfor de kritiske sektorer.

2. Få overblik over jeres forretningsprocesser.
Når I har afklaret, at I er omfattet af NIS2, bør I starte med at udarbejde et overblik over jeres forretningsprocesser, der har med informationssikkerhed at gøre. Med det overblik i hånden kan I risikovurdere hver enkelt proces, så I har en fornemmelse af, hvor risikoen for ødelæggende hændelser er størst. Den risikovurdering bruger I så til at prioritere cybersikkerheden for de vigtigste processer (og lægge planer for de processer, som I ikke kan adressere i denne omgang).

3. Læg en plan for implementeringen og vedligeholdelsen.
I behøver ikke at tage fat alle steder med det samme, men overfor myndighederne skal I kunne vise, at I har en plan for de forretningsprocesser og systemer, som I endnu ikke har fået sikret. I skal kunne vise, at I systematisk overvåger og adresserer de cybertrusler, der måtte opstå.

4. Implementér de planlagte sikkerhedstiltag.
Husk, at NIS2 handler om at øge cybersikkerheden for vigtige europæiske virksomheder. Derfor skal I sørge for at iværksætte sikkerhedstiltag, når I afdækker svagheder. De it-kriminelle lader sig ikke stoppe af velbeskrevne planer men af faktiske tiltag.

En god måde at sikre, at jeres virksomhed lever op til kravene i NIS2, er at blive certificeret efter ISO 27001-standarden (NIS2-direktivet henviser specifikt til ISO 27001). Hvis I har brug for et fingerpeg om, hvor godt I har sikret jeres it-infrastruktur, kan I følge de 18 CIS-kontroller (Critical Internet Security), der giver jer gode målepunkter.

Hvordan bliver NIS2-direktivet håndhævet af myndighederne?

Myndighederne i Danmark får med NIS2 til opgave at føre et skærpet tilsyn med, at direktivet bliver overholdt af de omfattede virksomheder. Myndighederne vil blandt andet skulle holde øje med, at de omfattede virksomheder:

• Har politikker for cybersikkerhed på plads
• Har sikret sig, at der bliver taget hånd om cyberhændelser
• Har en såkaldt business continuity plan på plads – altså en plan for, hvordan driften kan genoprettes, hvis et eller flere kritiske systemer sættes ud af spil
• Har styr på kædeansvar – altså om virksomhedens underleverandører efterlever kravene til NIS2.
• Løbende foretager (og har fået foretaget) risikovurderinger af it-systemerne
• Har sikret deres it-systemer (Security, Network and Information Systems)
• Oplærer og træner medarbejdere i cybersikkerhed (Cyber security and compliance training).

Overblik: Hvilke sektorer er omfattet af NIS?

Direktivet opdeler de omfattede virksomheder (eller enheder) i to kategorier: ”Særlig kritisk betydning” og ”Andre kritiske sektorer”.

Skal vi hjælpe dig?

Hos NNIT står vi klar til at hjælpe jeres virksomhed med at blive klar til NIS2. Om det handler om at kortlægge, hvad I mangler for at leve op til lovgivningen (gap-analyse), til at risikovurdere jeres cybersikkerhed eller implementere systemer som eksempelvis Zero Trust cybersikkerhed kan NNIT’s sikkerhedseksperter hjælpe.

Vi samarbejder med førende partnere som Microsoft, Cisco og Palo Alto for at vurdere og sikre jeres infrastruktur og data baseret på jeres unikke risikoprofil.