I december 2022 kom Europa-Parlamentet med NIS2-direktivet, der ensretter og skærper lovkravene til cyber- og informationssikkerhed på tværs af EU’s medlemslande. Det betyder, at fra oktober 2024 vil organisationer, der ikke overholder lovkravene i NIS2, potentielt kunne få store bøder. Sanktionerne vil ligne dem, som vi kender fra GDPR i dag.
Formålet med NIS2 er at forbedre den kritiske it-infrastruktur til et niveau, der er tidssvarende med nutidens risiko- og trusselsbillede. Direktivet reguleres sammen med den kommende nationallovgivning.
Minimumskrav i NIS2-direktivet
Direktivet har opstillet følgende minimumskrav til organisationer i forhold til kontrol, uddannelse, dokumentation og processer.
De 10 minimumskrav i NIS2-direktivet er følgende:
- Politikker for risikoanalyse og informationssystemsikkerhed.
- Håndtering af hændelser.
- Driftskontinuitet, såsom backup-styring og reetablering efter en katastrofe, og krisestyring.
- Forsyningskædesikkerhed, herunder sikkerhedsrelaterede aspekter vedrørende forholdene mellem den enkelte enhed og dens direkte leverandører eller tjenesteudbydere af forsyningskædesikkerhed, herunder sikkerhedsrelaterede aspekter vedrørende forholdene mellem den enkelte enhed og dens direkte leverandører eller tjenesteudbydere.
- Sikkerhed i forbindelse med erhvervelse, udvikling og vedligeholdelse af net- og informationssystemer, herunder håndtering og offentliggørelse af sårbarheder.
- Politikker og procedurer til vurdering af effektiviteten af foranstaltninger til styring af cybersikkerhedsrisici.
- Grundlæggende cyberhygiejnepraksisser og cybersikkerhedsuddannelse.
- Politikker og procedurer vedrørende brug af kryptografi og, hvor det er relevant, kryptering.
- Personalesikkerhed, adgangskontrolpolitikker og forvaltning af aktiver.
- Brug af løsninger med multifaktorautentificering eller kontinuerlig autentificering, sikret tale-, video- og tekstkommunikation og sikrede nødkommunikationssystemer internt i enheden, hvor det er relevant.
Derudover vil de omfattede organisationer blive underlagt en frist på 24 timer til at underrette den kompetente myndighed om væsentlige hændelser og cybertrusler. Herefter skal der inden for 72 timer forelægges en hændelsesmeddelelse, og til sidst udarbejdes en endelig rapport inden for én måned.
En væsentlig ændring fra NIS1 til NIS2 er udvidelsen af omfanget af underlagte sektorer, der ikke har været omfattet af det nuværende NIS-direktiv. Således omfatter NIS2 18 sektorer mod de 6, der var underlagt NIS1.
Desuden går NIS2 væk fra den hidtidige sondring mellem vigtige tjenester samt digitale tjenester og fokuserer i stedet på væsentlige samt vigtige enheder inden for en række sektorer baseret på:
- Den sektor, organisationerne opererer i, foruden de leverede tjenester.
- Vigtigheden af sektoren og de leverede tjenester samt afhængighedsforhold til andre sektorer.
Lovkravene i NIS2 omfatter bl.a. private virksomheder i it-, energi-, transport-, sundheds-, finans- og fødevaresektoren samt den offentlige sektor.
Væsentlige sektorer omfattet af NIS2
| Energi |
Elektricitet |
| |
Fjernvarme og fjernkøling |
| |
Olie |
| |
Gas |
| |
Brint |
| Transport |
Luft |
| |
Jernbane |
| |
Vand |
| |
Vejtransport |
| Bankvirksomhed |
|
| Finansielle markedsinfrastruktur |
|
| Sundhed |
|
| Drikkevand |
|
| Spildevand |
|
| Digital infrastruktur |
Udbydere af internetudvekslingspunkter |
| |
DNS-tjenesteudbydere, bortset fra operatører af rodnavneservere |
| |
Topdomænenavneadministratorer |
| |
Udbydere af cloudcomputingtjenester |
| |
Udbydere af datacentertjenester |
| |
Udbydere af indholdsleveringsnetværk |
| |
Tillidstjenesteudbydere |
| |
Udbydere af offentlige elektroniske kommunikationsnet |
| |
Udbydere af offentligt tilgængelige elektroniske kommunikationstjenester |
| Forvaltning af IKT-tjenester (business-to-business) |
|
| Offentlig forvaltning |
|
| Rummet |
|
Vigtige sektorer omfattet af NIS2
| Post- og kurertjenester |
|
| Affaldshåndtering |
|
| Fremstilling, produktion og distribution af kemikalier |
|
| Produktion, tilvirkning og distribution af fødevarer |
|
| Fremstilling |
Fremstilling af medicinsk udstyr og medicinsk udstyr til in vitro-diagnostik |
| |
Fremstilling af computere og elektroniske og optiske produkter |
| |
Fremstillinger af elektrisk udstyr |
| |
Fremstilling af maskiner og udstyr i.a.n. |
| |
Fremstilling af motorkøretøjer, påhængsvogne og sættevogne |
| |
Fremstilling af andre transportmidler |
| Digitale udbydere |
Udbydere af onlinemarkedspladser |
| |
Udbydere af onlinesøgemaskiner |
| |
Udbydere af platforme for sociale netværkstjenester |
| Forskning |
|
Som følge af NIS2 skal de omfattede virksomheder og organisationer efterleve særligt skærpende forpligtelser inden for to centrale områder: risikostyring og rapportering til myndigheder. Herudover får myndighederne væsentligt styrkede tilsynsbeføjelser.
Det skal præciseres, at den nationale lovgivning i Danmark endnu ikke er vedtaget, men de overordnede rammer er dog udarbejdet. Det anbefales derfor, at I allerede nu går videre i processen.
Er din organisation forberedt, hvis jeres organisation bliver/er omfattet af lovkravene i NIS2?
Vi anbefaler, at I allerede nu påbegynder kortlægningen af, om jeres organisation er underlagt NIS2-direktivet, samt hvilke konsekvenser det kan få for din virksomhed, når NIS2 skal være implementeret oktober 2024. Når I har foretaget kortlægningen af, om I er omfattet af NIS2-lovkravene, vil I allerede der kunne drage fordele af den viden, så I kender det arbejde, der eventuelt ligger foran jer i forhold til at leve op til minimumskravene i NIS2-direktivet. Samtidig har det den fordel, at I kan planlægge selve implementeringsarbejdet og udarbejde en handlingsplan for at sikre, at I når i mål inden direktivets ikrafttrædelsesdato uden at skulle tage forhastede vurderinger og konklusioner.
Hvis I er omfattet af kravene, bør I allerede nu sikre jer at skabe opmærksomhed omkring de skærpede lovkrav i jeres organisation samt få allokeret de rette ressourcer, så I kan løfte opgaven i rette tid.
Hvis du ønsker at vide, hvilken indflydelse NIS2-direktivet potentielt kan få i din virksomhed, samt hvilke krav jeres organisation skal opfylde, når direktivet træder i kraft, er du altid velkommen til at kontakte BDO. Vi kan bistå både i forhold til at tilbyde assistance og rådgivning eller blot have en dialog om, hvordan I kan komme videre i processen.
Hos BDO sikrer vi hele tiden, at vi er opdaterede på NIS2-direktivet, foruden den nationale lovgivning. Dette sker i tæt dialog med beslutningstagere samt brancheorganisationer og øvrige samarbejdspartnere, og vi står derfor klar til at rådgive jer om de foranstaltninger, der skal til for, at I kan leve op til de nye skærpede krav.
Vil du være opdateret på seneste nyt inden for blandet andet NIS2 samt andre emner indenfor databeskyttelse og cybersikkerhed? Tilmeld dig vores nyhedsbrev her og få sendt nyheder direkte til din indbakke.