NIS2 - cybersikkerhed på tværs af grænser

Legislation, 2023-08-10

Legislation, 2023-08-10

I 2022 indtog Danmark for tredje gang førstepladsen i FN’s E-Government Survey. Ifølge Tanja Franck, direktør i Digitaliseringsstyrelsen, er det et resultat af mange års fokus på en stærk og veludviklet infrastruktur, der betyder at nøgleforudsætningerne er på plads for den offentlige digitalisering i Danmark.

Det er dog ikke kun i Danmark at digitaliseringen buldrer derudaf; på europæisk plan er der generelt fart over feltet, og vi bliver i højere og højere grad afhængige af den digitale infrastruktur. Desværre er resultatet af udviklingen ikke entydig positiv, da der med den stigende digitalisering også er en øget sårbarhed over for cyberangreb og trusler.

Beskyttelse af kritisk infrastruktur mod cybertrusler- og angreb er afgørende for samfundets sikkerhed og økonomiske stabilitet, og netop derfor har man, på europæisk plan, besluttet at skærpe kravene til kritisk infrastruktur NIS (Network and Information Security Directive) fra version 1 til version 2.

Det oprindelige NIS-direktiv udkom i 2016 og var den første cybersikkerhedslov på EU-plan. NIS2-direktivet blev vedtaget i december 2022 og skal implementeres i dansk lovgivning inden for 18 til 21 måneder, hvilket vil sige senest 17. oktober 2024. Fra den dato er de ramte organisationer omfattet og skal leve op til de NIS2.

NIS2 sætter klare rammer for et forhøjet og ensartet niveau af sikkerhed for alle medlemslande og kræver at virksomheder, inden for berørte sektorer, har passende sikkerhedsforanstaltninger på plads. I den forbindelse udvides anvendelsesområdet for det oprindelige direktiv fra 7 til 18 sektorer. 

Man estimerer, at mellem 1.000 og 1.400 danske organisationer bliver omfattet af NIS2 og de nye krav kommer til at få stor indvirkning på sikkerhedsniveauet i de omfattede virksomheder. Endvidere forpligter medlemslandene sig også til at implementere nationale cybersikkerhedsstrategier.

Hvem er omfattet af NIS2?

Formålet med NIS2 er at nå længere ud og styrke cybersikkerheden i Europa yderligere. Som nævnt er de ændrede trusselsbillede en væsentlig faktor i opdateringen, men også det faktum, at det oprindelige NIS-direktiv blev fortolket og implementeret på forskellig vis i medlemslandene har haft stor betydning.

NIS2-direktivet gælder for to hovedkategorier af aktører: Tjenesteudbydere og digitale tjenesteudbydere.

Tjenesteudbydere: Omfatter virksomheder inden for sektorer som energi, transport, sundhed, finans og forsyningskæder, der leverer tjenester, som er afgørende for det samfundsmæssige og økonomiske velfærd.

Digitale tjenesteudbydere: Omfatter onlinetjenester såsom cloud-computing, online markedspladser og sociale netværk, der spiller en central rolle i vores digitale liv.

Det er værd at bemærke, at brancher, såsom fødevaresektoren, datacenterudbydere og virksomheder, der arbejder med affald- og spildevandshåndtering, der ikke var underlagt det oprindelige NIS-direktiv, nu er omfattet af NIS2.

Du kan se en liste over de omfattede sektorer her

Cybersikkerhedskrav i NIS2

NIS2 kræver, at de omfattende organisationer implementerer passende sikkerhedsforanstaltninger for at beskytte deres tjenester mod cyberangreb. Der er krav om en række tekniske og organisatoriske foranstaltninger, herunder:

  • Risikovurderinger og forebyggelsesforanstaltninger:
    Organisationerne skal udføre risikovurderinger og implementere passende forebyggelsesforanstaltninger for at reducere risikoen for cyberangreb.
  • Incident management:
    Organisationerne skal have en klar plan for håndtering af cyberangreb og en mekanisme til hurtigt at rapportere alvorlige sikkerhedshændelser til myndighederne (indenfor 24 timer, 72 timer og 1 måned).
  • Tredjepartsrisici:
    Organisationerne skal vurdere risiciene ved at bruge tredjepartstjenester og implementere passende sikkerhedsforanstaltninger for at håndtere disse.
  • Overvågning og rapportering:
    Organisationerne skal overvåge deres systemer og tjenester og rapportere sikkerhedshændelser til de relevante myndigheder.

Bødekrav

Ved manglende overholdelse af de nye krav kan virksomheden blive pålagt bøder på op til €10 millioner eller 2% af virksomhedens globale omsætning. Endelig kan ledelsen blive strafansvarlig og miste retten til at drive virksomhed.

NIS2-implementering

Selvom der stadig er tid, er det vores stærke anbefaling, at man begynder nu, hvis man ikke allerede har en høj modenhed inden for cybersikkerhed. Vi har samlet vores anbefalinger i følgende trin:

  • Undersøg om din virksomhed er omfattet af NIS2
  • Informer din ledelse om NIS2 og sørg for at NIS2 har ledelsens (fortsatte) opmærksomhed.
  • Se på best practices. Der kommer ikke et detaljeret afkrydsningsskema, og derfor anbefaler vi at se på nogle af de rammeværktøjer, der allerede findes. Det kunne være CIS-kontrollerne (CIS version 8), NIST CSF og endelig ISO 27001.
  • Få lavet, eller opdateret, processer i forbindelse med risikostyring, og herunder også risikostyring af jeres leverandører (tredjepartsrisici)
  • Etablerer en incident response proces, så I er i stand til at leve op til de nye rapporteringskrav i NIS2.

Konklusion

NIS2-direktivet er et afgørende skridt i retning af at forbedre cybersikkerheden i hele EU. Det udvider anvendelsesområdet for det oprindelige NIS-direktiv og kræver, at virksomheder inden for de berørte sektorer implementerer passende sikkerhedsforanstaltninger for at beskytte deres tjenester mod cyberangreb.

Der er øget fokus på risikovurderinger, forebyggelsesforanstaltninger, incident management og håndtering af tredjepartsrisici. Det er også vigtigt for de omfattede organisationer at overvåge deres systemer og tjenester nøje og rapportere sikkerhedshændelser til myndighederne.

For virksomheder, der ikke er direkte omfattet af NIS2-direktivet, kan det stadig være værdifuldt at undersøge direktivets krav og anbefalinger som en vejledning til at forbedre deres egen cybersikkerhed. Cyberangreb udgør en betydelig trussel mod virksomheder, og ved at følge best practice kan virksomheder bidrage til at beskytte deres egne aktiver og styrke det samlede cyberforsvar.

Ved at implementere NIS2 får vi et mere robust og sikkert digitalt miljø i EU og vores modstandsdygtighed mod cybertrusler styrkes. Det er afgørende, at virksomheder og myndigheder danner fælles front og aktivt samarbejder for at opfylde direktivets krav så vi kan sikre et mere sikkert og pålideligt digitalt landskab for alle.

Nedenfor har vi samlet en håndfuld links med information om NIS2. Vi opdaterer listen løbende.