– Mia Louise Bukholt, Principal Cybersecurity Consultant, NNIT
Med EU’s NIS2-direktiv bliver kravene til virksomheders cybersikkerhed væsentligt skærpet. De nye omfattende regler vil gælde for langt flere virksomheder og brancher end tidligere, ligesom bødestørrelserne vokser. Her fortæller vi, hvordan I kan forberede jer på de nye krav.
I vores digitale tidsalder er cybersikkerhedstruslen en væsentlig bekymring for både virksomheder, regeringer og enkeltpersoner. Og det er netop det, der ligger til grund for EU’s opdatering af det tidligere NIS direktiv til NIS2. Her giver vi dig og din virksomhed svar på nogle af de væsentligste spørgsmål om det vidtrækkende direktiv.
Hvad er NIS2-direktivet?
NIS2 udvider kravene og sanktioneringen af cybersikkerhed for at harmonisere og strømline sikkerhedsniveauet på tværs af medlemslandene. Direktivet bygger videre på EU's tidligere regler for cybersikkerhed fra 2016 (NIS) og udvider mængden af virksomheder og brancher, der vurderes at være af såkaldt samfundskritisk betydning.
Samtidig med at kravene til virksomheders cyberberedskab øges, stiger også de potentielle sanktioner, ligesom de enkelte medlemslande også skal skærpe tilsyn og kontrollen med, at reglerne efterleves.
For jer som virksomhed betyder NIS2-direktivet, at I skal forberede jer på nye og større krav til ledelsens ansvar for risikostyring, forretningskontinuitet og rapportering til myndighederne.
Hvem er omfattet af NIS2-direktivet?
NIS2 kommer til at gælde for langt flere virksomheder end tidligere. Hvor det gamle direktiv omfattede virksomheder i syv sektorer, kommer de nye regler til at gælde for 16-18 sektorer. I tabellen nederst på siden kan du se, hvilke sektorer der er omfattet.
Ifølge en undersøgelse gennemført af Industriens Fond vil over 1.000 danske virksomheder bliver omfattet af NIS2 (hvor det tidligere blot var 150 virksomheder, der var omfattet). At kredsen af omfattede virksomheder udvides skyldes blandt andet, at direktivet introducerer kædeansvar, som gør at underleverandører til NIS2 -virksomheder skal kunne redegøre for deres håndtering af it-sikkerhed.
Hvilke krav stiller NIS2 til jeres virksomhed?
NIS2 opstiller en række såkaldte minimumskrav, som skal efterleves. Med minimumskrav forstås, at de enkelte medlemslande har mulighed for at vedtage højere standarder. Allerede i dag er der virksomheder indenfor eksempelvis energisektoren, der er underlagt strengere krav, end det som er beskrevet i NIS og i den kommende NIS2.
Groft sagt kan direktivet inddeles i fire kategorier: