Er du under cyberangreb eller har akut behov for assistance på grund af mistanke om cyberangreb så kontakt os her:

+45 7777 0911 soc@trifork.security
Incident Response Service

Din guide til NIS2

Mange organisationer kommer i de følgende måneder til at skulle tage stilling til NIS2, EU-direktivet, der kommer til at spille en afgørende rolle for en lang række virksomheder i Danmark. 

Der er meget information at holde styr på i forbindelse med NIS2, som opdaterer (og udvider) eksisterende europæisk lovgivning, med det formål at styrke cyber- og informationssikkerhed i samfundskritiske sektorer på tværs af EU.

baggrund

NIS2 i korte træk

NIS er en forkortelse for Network and Information Security. Helt overordnet har NIS-direktiverne til formål at beskytte europæisk infrastruktur mod nedbrud, trusler og cyberangreb og berører virksomheder, der spiller en samfundskritisk rolle.

Det oprindelige NIS-direktiv, EU's første cybersikkerhedslov, blev vedtaget i 2016 og havde til formål at regulere cybersikkerhed indenfor sektorer, der spillede en afgørende rolle for den europæiske kritiske infrastruktur - sektorer såsom transport, energi, vandforsyning, sundhed og den finansielle infrastruktur.

image

baggrund

Europæisk ensretning

Der er sket meget siden 2016, og som en naturlig følge af den øgede digitalisering, det ændrede trusselsbillede og en markant stigning af cyberkriminalitet, skærper EU nu de eksisterende krav.

NIS2 sætter klare rammer for et forhøjet og ensartet niveau af cyber- og informationssikkerhed for alle medlemslande og kræver at virksomheder, inden for de berørte sektorer, har passende sikkerhedsforanstaltninger på plads. I den forbindelse udvides anvendelsesområdet for det oprindelige direktiv fra 7 til 18 sektorer

Direktivet blev vedtaget i december 2022 og forventes at træde i kraft den 01.01.2025.

image

Compliance

Hvem er omfattet?

NIS2 gælder hovedsageligt for mellemstore virksomheder - altså virksomheder med mindst 50 ansatte og enten en årlig omsætning, eller en samlet årlig balance, på mindst 10 millioner euro - og IRIS Group estimerer at over 1.000 danske organisationer bliver omfattet.

Der er dog visse sektorer, hvor virksomheden er omfattet, uanset størrelse. Det gælder virksomheder, der udgør en særlig kritisk infrastruktur som internetudbydere, eller hvis de er den eneste udbyder af en tjeneste.

Et nyt tiltag kræver også, at virksomheder sikrer deres forsyningskæder, herunder sikkerhedsaspekter mellem dem og deres direkte leverandører/tjenesteudbydere.

omfattede-sektorer
image

Compliance

Konsekvenser

På vegne af Industriens Fond har IRIS GROUP udarbejdet en rapport, der analyserer virksomheders modenhed i forhold til kravene i NIS2-direktivet.

Analysen giver et detaljeret indblik i den nuværende situation og anslog sidste år at kun knap en tredjedel af virksomhederne lever op til kravene. Endvidere var det blot 20% af virksomhederne, der har en plan for hvordan de opnår compliance inden deadline.

Manglende overholdelse af NIS2 kan resultere i vidtrækkende konsekvenser. Virksomheder der ikke lever op til kravene kan pålægges bøder på op til 10 millioner euro eller 2% af virksomhedens globale omsætning. Endelig kan ledelsen holdes direkte ansvarlig for overtrædelser af loven og miste retten til at drive virksomhed.

image

mere information

Links

Du kan læse mere om NIS2 her:

NIS2 FAQ 
NIS2-lovkrav
Omfattede sektorer
CIS-kontrollerne
ISO 27001
NIST-CSF

image

Lad os tale NIS2