Betydningen og omfanget af NIS2

NIS2-direktivet fra EU bliver i den nærmeste fremtid indført i dansk lovgivning for en lang række virksomheder og organisationer. Direktivet indeholder skærpede lovkrav til netværks- og informationssikkerhed i udvalgte sektorer.

På denne side kan du blive meget klogere på betydningen og omfanget af NIS2.

Hvad er NIS2 og hvorfor kommer der et nyt direktiv?

NIS2 er efterfølgeren til det oprindelige direktiv, Network and Information Security (NIS) fra 2016. Baggrunden for at revidere direktivet er de stigende cybertrusler, der truer det indre markeds effektivitet. Cybertruslerne og aktørerne bag spænder fra rene amatører over cyberkriminelle til statssponsorerede aktører. 

Skaderne, som disse trusler kan afstedkomme, kan sprede sig igennem sårbare forsyningskæder og kritisk infrastruktur og dermed være ødelæggende for samfund, økonomi og forretning. Der stilles derfor krav til at beskytte sig på et nyt og ensartet niveau. 

Det reviderede NIS2-direktiv har til formål at sikre:

  1. En ensartet udvælgelse af relevante sektorer på tværs af EU
  2. En konsistens i sikkerhedskrav 
  3. En ensartet behandling af større cyberhændelser

Hvornår skal NIS2 direktivet være implementeret i lovgivningen?

Direktivet skal være implementeret i lovgivningen inden oktober 2024 og herefter skal lovgivningen efterleves af de berørte virksomheder. Der er endnu ikke meldt en konkret tidsplan ud fra myndighederne.

Hvad er forskellen på NIS og NIS2?

Der er en række ændringer i forhold til det tidligere NIS-direktiv. Ændringer kan deles op i dem, der har betydning for de nationale myndigheder og dem, der har betydning for den enkelte virksomhed.

For nationale myndigheder er der en række ændringer og tiltag, der styrker samarbejdet på tværs af landegrænser i EU. Det er bl.a. etableringen af organisationer, som vil arbejde med forebyggende indsatser, herunder et tæt samarbejde med ENISA (European Network and Information Security Agency) og korrigerende tiltag, der sikrer at større cyberhændelser kan håndteres i EU-sammenhæng via en nyoprettet enhed ”EU CyCLONe” (Cyber Crises Liaison Organisation Network).

For organisationer og virksomheder er ændringerne knyttet til fire områder:

  • Risikostyring og sikkerhedsforanstaltninger
    Der er skærpede krav til at tage udgangspunkt i risikoanalyser ved etablering af kontrolforanstaltninger.

  • Underretningspligt
    Der er ensartede krav til, hvor hurtigt og til hvem en cyberhændelse skal rapporteres:  Hændelsen skal - så snart det er muligt og hvis den vurderes kritisk - rapporteres til tilsynsmyndigheden inden for 24 timer. Inden for 72 timer skal der foreligge en rapport, der sammenfatter hændelsen herunder hvorledes den er håndteret. Endelig skal der efter en måned foreligge en afsluttende rapport.
    Tidslinje over NIS2 underretningspligten ved cyberhændelser

  • Ledelsesmæssig forankring
    Der stilles større krav til ledelsesmæssig indsigt i forebyggelse og håndtering af cyberhændelser både nationalt og i virksomhederne. Dette betyder, at medlemmerne i virksomhedens ledelse kan blive stillet direkte og personligt til ansvar for sikkerhedsbrud under NIS2-direktivet.

  • Tilsyn, håndhævelse og sanktioner
    På samme måde som med GDPR, er der mulighed for at pålægge organisationer og virksomheder bødestraf ved manglende overholdelse. Organisationer eller virksomheder vil potentielt kunne få bøder på 10 millioner EURO eller 2 % af organisationens årlige, globale omsætning.

Hvad betyder NIS2 for dig som informationssikkerhedsansvarlig? 

Hvis din virksomhed er omfattet af NIS-direktivet og det derfor er et krav, at I er compliant med NIS2, så står du måske med en masse spørgsmål, som du gerne vil have besvaret. 

  • Hvad kommer der nu til at ske? 

  • Hvor skal I sætte ekstra InfoSec-kræfter ind? 

  • Hvordan gør I det på den rigtige og mest effektive måde? 

  • Hvad er konsekvenserne, hvis ikke I når at efterleve NIS2 i tide? 

Den gode nyhed er, hvis din virksomhed er underlagt NIS2-kravene, så arbejder I sandsynligvis allerede med ISO 27001/2. Det er nemlig sådan, hvis du efterlever ISO 27001/2, er du allerede nået rigtig langt i forhold til efterlevelse af NIS2.

Hvis ikke I allerede arbejder med ISO 27001/2, så er det lige præcis her du skal starte. Det kan vi naturligvis hjælpe jer med. Book et uforpligtende møde med os her

Hvis du vil læse mere om de foranstaltninger og ændringer du som informationssikkerhedsansvarlig skal overveje, hvis I er omfattet af NIS2-reglerne, så læs artiklen "Hvad betyder NIS2 for dig som informationssikkerhedsansvarlig?".

Hvem har ansvaret for NIS2-tilsynet med de danske virksomheder?

I dag er der sektoransvar for de enkelte sektorer med hensyn til den forebyggelse af cyberhændelser som er praktiseret i dag. Men i fremtiden forventes det, at der udpeges en fælles tilsynsmyndighed (CSIRT) og der gennem denne vil blive ført tilsyn. Der forventes også råd og vejledning fra denne eller andre EU-organiserede videns- og kompetencecentre. 

Vores bedste bud på en organisation, der vil få det brede tilsynsansvar med de danske virksomheder, der skal efterleve NIS2, er Center for Cybersikkerhed. Det synes vi er den organisation i Danmark, der har de bedste kompetencer til at løfte den opgave.

Hvilke sektorer og virksomheder er omfattede af NIS2 direktivet?

NIS2 har forskellige kriterier for, hvem der er omfattet af direktivet. Din virksomhed er omfattet af NIS2-direktivet, hvis I enten falder inden for: 

  • Kriteriet om væsentlige eller vigtige organisationer og virksomheder eller

  • Størrelseskriteriet eller

  • Hvis din virksomhed er leverandør til en virksomhed, der falder ind under en af de to første kategorier

Kriteriet om væsentlige eller vigtige organisationer og virksomheder

I kategorien for væsentlige organisationer og virksomheder er følgende sektorer og industrier blevet udvalgt:

  • Energi

  • Transport

  • Finansielle virksomheder 

  • Markedsinfrastruktur

  • Sundhed 

  • Drikkevand

  • Spildevand

  • Digital infrastruktur og udbydere

  • Offentlig forvaltning og administration

  • Rumaktivitet

I kategorien for vigtige organisationer og virksomheder er følgende sektorer og industrier blevet udvalgt:

  • Postservice

  • Affaldshåndtering

  • Kemiske produkter

  • Fremstilling, distribution og produktion af fødevarer

  • Fremstilling og produktion af pharma, elektronik, optisk udstyr, maskineri, køretøjer

Størrelseskriteriet

Størrelseskriteriet foreskriver (med få undtagelser), at en virksomhed er omfattet af NIS2, hvis alle tre følgende underkriterier er opfyldt:

  • Virksomheden falder inden for de ovennævnte sektorer

  • Virksomheden har over 50 ansatte

  • Virksomheden har en årlig omsætning på over 10 millioner euro

I er indirekte omfattet af NIS2, hvis…

Vær opmærksom på, at I kan være indirekte omfattet af direktivet, selv om I ikke falder ind under de førnævnte sektorer. Det er i de tilfælde, hvor I har kritiske services eller leverer til væsentlige eller kritiske virksomheder. Altså I er underleverandører til en virksomhed, der er omfattet af NIS2.

 

Læs mere om, hvad NIS2 betyder for dig som informationssikkerhedsansvarlig her.

seges innovation
folketinget-ny
Softværket_logo_CMYK
naturstyrelsen
3
kronjylland
Frederikshavn forsyning
fredericia