NIS2 er efterfølgeren til det oprindelige direktiv, Network and Information Security (NIS) fra 2016. Baggrunden for at revidere direktivet er de stigende cybertrusler, der truer det indre markeds effektivitet. Cybertruslerne og aktørerne bag spænder fra rene amatører over cyberkriminelle til statssponsorerede aktører.
Skaderne, som disse trusler kan afstedkomme, kan sprede sig igennem sårbare forsyningskæder og kritisk infrastruktur og dermed være ødelæggende for samfund, økonomi og forretning. Der stilles derfor krav til at beskytte sig på et nyt og ensartet niveau.
Det reviderede NIS2-direktiv har til formål at sikre:
Direktivet skal være implementeret i lovgivningen inden oktober 2024 og herefter skal lovgivningen efterleves af de berørte virksomheder. Der er endnu ikke meldt en konkret tidsplan ud fra myndighederne.
Der er en række ændringer i forhold til det tidligere NIS-direktiv. Ændringer kan deles op i dem, der har betydning for de nationale myndigheder og dem, der har betydning for den enkelte virksomhed.
For nationale myndigheder er der en række ændringer og tiltag, der styrker samarbejdet på tværs af landegrænser i EU. Det er bl.a. etableringen af organisationer, som vil arbejde med forebyggende indsatser, herunder et tæt samarbejde med ENISA (European Network and Information Security Agency) og korrigerende tiltag, der sikrer at større cyberhændelser kan håndteres i EU-sammenhæng via en nyoprettet enhed ”EU CyCLONe” (Cyber Crises Liaison Organisation Network).
For organisationer og virksomheder er ændringerne knyttet til fire områder:
Risikostyring og sikkerhedsforanstaltninger
Der er skærpede krav til at tage udgangspunkt i risikoanalyser ved etablering af kontrolforanstaltninger.
Underretningspligt
Der er ensartede krav til, hvor hurtigt og til hvem en cyberhændelse skal rapporteres: Hændelsen skal - så snart det er muligt og hvis den vurderes kritisk - rapporteres til tilsynsmyndigheden inden for 24 timer. Inden for 72 timer skal der foreligge en rapport, der sammenfatter hændelsen herunder hvorledes den er håndteret. Endelig skal der efter en måned foreligge en afsluttende rapport.
Ledelsesmæssig forankring
Der stilles større krav til ledelsesmæssig indsigt i forebyggelse og håndtering af cyberhændelser både nationalt og i virksomhederne. Dette betyder, at medlemmerne i virksomhedens ledelse kan blive stillet direkte og personligt til ansvar for sikkerhedsbrud under NIS2-direktivet.
Tilsyn, håndhævelse og sanktioner
På samme måde som med GDPR, er der mulighed for at pålægge organisationer og virksomheder bødestraf ved manglende overholdelse. Organisationer eller virksomheder vil potentielt kunne få bøder på 10 millioner EURO eller 2 % af organisationens årlige, globale omsætning.
Hvis din virksomhed er omfattet af NIS-direktivet og det derfor er et krav, at I er compliant med NIS2, så står du måske med en masse spørgsmål, som du gerne vil have besvaret.
Hvad kommer der nu til at ske?
Hvor skal I sætte ekstra InfoSec-kræfter ind?
Hvordan gør I det på den rigtige og mest effektive måde?
Hvad er konsekvenserne, hvis ikke I når at efterleve NIS2 i tide?
Den gode nyhed er, hvis din virksomhed er underlagt NIS2-kravene, så arbejder I sandsynligvis allerede med ISO 27001/2. Det er nemlig sådan, hvis du efterlever ISO 27001/2, er du allerede nået rigtig langt i forhold til efterlevelse af NIS2.
Hvis ikke I allerede arbejder med ISO 27001/2, så er det lige præcis her du skal starte. Det kan vi naturligvis hjælpe jer med. Book et uforpligtende møde med os her.
Hvis du vil læse mere om de foranstaltninger og ændringer du som informationssikkerhedsansvarlig skal overveje, hvis I er omfattet af NIS2-reglerne, så læs artiklen "Hvad betyder NIS2 for dig som informationssikkerhedsansvarlig?".
I dag er der sektoransvar for de enkelte sektorer med hensyn til den forebyggelse af cyberhændelser som er praktiseret i dag. Men i fremtiden forventes det, at der udpeges en fælles tilsynsmyndighed (CSIRT) og der gennem denne vil blive ført tilsyn. Der forventes også råd og vejledning fra denne eller andre EU-organiserede videns- og kompetencecentre.
Vores bedste bud på en organisation, der vil få det brede tilsynsansvar med de danske virksomheder, der skal efterleve NIS2, er Center for Cybersikkerhed. Det synes vi er den organisation i Danmark, der har de bedste kompetencer til at løfte den opgave.
NIS2 har forskellige kriterier for, hvem der er omfattet af direktivet. Din virksomhed er omfattet af NIS2-direktivet, hvis I enten falder inden for:
Kriteriet om væsentlige eller vigtige organisationer og virksomheder eller
Størrelseskriteriet eller
Hvis din virksomhed er leverandør til en virksomhed, der falder ind under en af de to første kategorier
I kategorien for væsentlige organisationer og virksomheder er følgende sektorer og industrier blevet udvalgt:
Energi
Transport
Finansielle virksomheder
Markedsinfrastruktur
Sundhed
Drikkevand
Spildevand
Digital infrastruktur og udbydere
Offentlig forvaltning og administration
Rumaktivitet
I kategorien for vigtige organisationer og virksomheder er følgende sektorer og industrier blevet udvalgt:
Postservice
Affaldshåndtering
Kemiske produkter
Fremstilling, distribution og produktion af fødevarer
Fremstilling og produktion af pharma, elektronik, optisk udstyr, maskineri, køretøjer
Størrelseskriteriet foreskriver (med få undtagelser), at en virksomhed er omfattet af NIS2, hvis alle tre følgende underkriterier er opfyldt:
Virksomheden falder inden for de ovennævnte sektorer
Virksomheden har over 50 ansatte
Virksomheden har en årlig omsætning på over 10 millioner euro
Vær opmærksom på, at I kan være indirekte omfattet af direktivet, selv om I ikke falder ind under de førnævnte sektorer. Det er i de tilfælde, hvor I har kritiske services eller leverer til væsentlige eller kritiske virksomheder. Altså I er underleverandører til en virksomhed, der er omfattet af NIS2.
