NIS2-direktivet: Er din virksomhed klar til de skærpede krav til cyberbeskyttelse i Europa?

NIS2-direktivet banker snart på døren, og det er noget, vi ikke kan komme udenom. EU's medlemslande har taget en beslutning om en ny udgave af Net- og Informationssikkerhedsdirektivet – eller NIS2, som det mere mundret kaldes. Det betyder, at landene har indtil den 17. oktober 2024 til at integrere dette nye direktiv i deres egne love.

Men lad os skrue ned for teknikaliteterne. Hvad betyder NIS2-direktivet i virkeligheden, og hvordan kan det påvirke din virksomhed?

Det er netop, hvad vi vil prøve at forklare i denne artikel. Så ønsker du at blive klogere på NIS2-direktivet, er du kommet til det helt rette sted.

Hvad er NIS2-direktivet: Cybersikkerhedens næste kapitel

NIS2 er ikke blot endnu et EU-direktiv – det udgør cybersikkerhedens næste kapitel. 

Dets hovedmål er at skærme samfundets infrastruktur, nøgleaktiviteter og tjenester mod afbrydelser og cybertrusler. Den overordnede strategi er at etablere et stringent og ensrettet niveau for cybersikkerhed og informationsbeskyttelse på tværs af EU inden for en lang række sektorer og offentlige institutioner, der vurderes som værende kritiske for økonomien og samfundet.

Det sker ikke blot for at sikre et velfungerende indre marked, men også fordi man vurderer, at det vil bidrage til en øget sikkerhed for borgere og virksomheder i EU generelt.

Indførelsen af dette direktiv indebærer skrappere krav til cybersikkerhed og informationsbeskyttelse for de mellemstore og store organisationer, som yder tjenester, der er essentielle for samfundet.

De betydningsfulde ændringer fra det tidligere NIS-direktiv er tydelige. Først og fremmest udvides rækkevidden af sektorer, der skal overholde direktivet. Dernæst strammes kravene til sikkerhedsforanstaltninger, og tilsynet styrkes markant. Endelig indføres muligheden for direkte ansvar for ledelsen i tilfælde af overtrædelser af lovgivningen.

NIS2-direktivet: Hvem skal nu til at stige på cybersikkerhedstoget?

Som nævnt er en af de store ændringer ved det nye NIS2-direktiv, at langt flere virksomheder og organistaioner (i direktivet kaldet “enheder”) nu skal stige på det store cybersikkerhedstog.

Det er i udgangspunktet offentlige og private enheder, der kategoriseres som "væsentlige enheder" eller "vigtige enheder", der skal være sikre på, at de får indløst billetten.

Men hvad dækker "væsentlige enheder" og "vigtige enheder" så over?

Begrebet "væsentlige enheder" omfatter offentlige og private enheder inden for følgende sektorer:

• Energi (elektricitet, fjernvarme, olie, gas og brint)
• Transport (luft, jernbane, vand og vej)
• Bankvirksomhed (kreditinstitutter)
• Finansielle markedsinfrastrukturer (markedspladser)
• Sundhedssektoren (sundhedstjenesteydere og producenter af lægemidler mv.)
• Drikke- og spildevand
• Digital infrastruktur (bl.a. udbydere af cloud-ydelser, datacentre, domænenavnssystemer (DNS), topdomæneregistre (TLD) og offentlige kommunikationsnet)
• Informations- og kommunikationstjenesteudbydere (ICT-services)
• Udbydere af managed services og managed security services
• Offentlig forvaltning (undtagen Folketinget, domstolene og Nationalbanken)
• Rummet (operatører af jordbaseret infrastruktur)

Begrebet "vigtige enheder" omfatter offentlige og private enheder inden for:

• Post- og kurertjenester
• Affaldshåndtering
• Fremstilling, produktion og distribution af kemikalier
• Fremstilling, bearbejdning og distribution af fødevarer
• Fremstilling af bl.a. elektronik, maskiner og motorkøretøjer
• Udbydere af visse digitale tjenester (online markedspladser og søgemaskiner samt sociale netværkstjenester)
• Forskning (højere læreanstalter og forskningsinstitutioner)

Se den komplette liste her.

Fritaget eller fanget: Hvem slipper for NIS2-direktivet?

Selvom langt flere virksomheder sammenlignet med det første NIS-direktiv  nu inkluderes i NIS2, er der stadig nogle virksomheder, der fritages for direktivets regler og sanktioner – selvom de kategoriseres som "væsentlige enheder" eller "vigtige enheder".

Forvirret?

Det kan vi godt forstå. Men lad os prøve at bryde det ned.

Først og fremmest har EU’s medlemslande mulighed for at undtage enheder inden for forsvar, national sikkerhed og retshåndhævelse fra NIS2.

Men derudover gælder det, at mikrovirksomheder og små virksomheder i udgangspunktet ikke er omfattet af NIS2-direktivet – uanset hvilken kategorisering de har. Mikrovirksomheder og små virksomheder er defineret ved, at de har under 50 ansatte og en samlet årlig balance eller årlig omsætning på under 10 millioner euro.

Igen er der dog en undtagelse. For hvis disse mikrovirksomheder og små virksomheder hører under en af følgende brancher, er de alligevel omfattet af NIS2-direktivet på trods af deres størrelse. Det gælder for virksomheder i følgende brancher:

• Udbydere af offentlige elektroniske kommunikationsnet eller offentligt tilgængelige elektroniske kommunikationstjenester
• Tillidstjenesteudbydere (valideringstjenester)
• Udbydere af topdomænenavneregistre (TLD) og domænenavnssystemer (DNS)
• Enheder, der er eneudbydere af en ydelse i en medlemsstat, som er væsentlig for vedligeholdelsen af kritiske samfundsmæssige eller økonomiske aktiviteter
• Enheder, der leverer ydelser, som er kritiske for samfundet, offentligheden eller en konkret sektor

Hvilke lovkrav stiller NIS2?

Hvis din virksomhed er ny i “NIS-regi”, er du sikkert meget interesseret i at høre mere om, hvilke krav der helt lavpraktisk er for din virksomhed. Men selv hvis man sidder i en virksomhed, som også har været berørt af det tidligere NIS-direktiv, bør man spidse ører. For udover at langt flere virksomheder nu bliver berørt af direktivet, kommer direktivet også med flere og skrappere krav.

Med henblik på at styrke Europas modstandsdygtighed mod nuværende og fremtidige cybertrusler introducerer NIS2-direktivet nemlig nye krav og forpligtelser for organisationer inden for fire overordnede områder: risikostyring, ledelse, rapporteringsforpligtelser og forretningskontinuitet.

Det betyder helt konkret:

Ledelsen i din virksomhed står nu over for en direkte forpligtelse. De skal ikke blot forstå direktivets krav, men også håndtere risikostyring på en proaktiv måde. De er ansvarlige for, at cyberrisici bliver identificeret og afværget, og at kravene overholdes til punkt og prikke. 

Forretningskontinuitet bliver ligeledes en nøgleprioritet. Hvordan vil din virksomhed tackle en potentiel større cyberhændelse og sikre, at driftskontinuiteten opretholdes? I den forbindelse skal der skabes rammer for systemgenopretning, nødprocedurer og opbygning af en agil kriseorganisation.

Der skal også strammes op på rapporteringen til myndighederne. NIS2-direktivet lægger vægt på korrekt og hurtig rapportering. Dette inkluderer krav om at rapportere større hændelser inden for blot 24 timer efter, de er blevet opdaget. En velsmurt rapporteringsproces er derfor essentiel for at overholde disse retningslinjer.

De 10 mininumsforanstaltninger

Ud over de fire overordnede områder for krav pålægger NIS2-direktivet væsentlige og vigtige enheder at implementere grundlæggende sikkerhedsforanstaltninger til håndtering af specifikke former for sandsynlige cybertrusler.

Disse omfatter:

1. Risikovurderinger og sikkerhedspolitikker for informationsystemer.
2. Politikker og procedurer til evaluering af effektiviteten af sikkerhedsforanstaltninger.
3. Politikker og procedurer for brug af kryptografi og eventuelt kryptering.
4. En plan for håndtering af sikkerhedshændelser.
5. Sikkerhed omkring indkøb af systemer og udvikling og drift af systemer. Dette indebærer at have politikker for håndtering og rapportering af sårbarheder.
6. Cybersikkerhedstræning og praksis for grundlæggende computerhygiejne.
7. Sikkerhedsprocedurer for medarbejdere med adgang til følsomme eller vigtige data, inklusive politikker for dataadgang. Berørte organisationer skal også have en oversigt over alle relevante aktiver og sikre, at de anvendes og håndteres korrekt.
8. En plan for håndtering af forretningsaktiviteter under og efter en sikkerhedshændelse. Dette indebærer, at sikkerhedskopier skal være opdaterede. Der skal også være en plan for at sikre adgangen til IT-systemer og deres driftsfunktioner under og efter en sikkerhedshændelse.
9. Anvendelsen af multifaktorgodkendelse, løbende godkendelsesløsninger, stemme-, video- og tekstkryptering samt krypteret intern nødkommunikation, når det er relevant.
10. Sikkerhed omkring forsyningskæder og forholdet mellem virksomheden og direkte leverandører. Virksomheder skal vælge sikkerhedsforanstaltninger, der passer til sårbarhederne hos hver enkelt direkte leverandør. Virksomhederne skal også vurdere det overordnede sikkerhedsniveau for alle leverandører.

Hvordan føres der tilsyn med NIS2-direktivet?

Det er super vigtigt, at man lever op til ovenstående lovkrav. Gør man ikke det, kan man risikere en række forskellige sanktioner. Mulighederne for sanktionering omfatter bl.a. bøder, tvungne revisioner, sanktionering af ledelse mv.

Med indførelsen af NIS2-direktivet bliver myndighedernes tilsyn udvidet både i dybde og rækkevidde. Denne udvidelse betyder, at tilsynet bliver mere omfattende og dækker en bredere vifte af områder.

Det indebærer, at tilsynsmyndighederne vil være mere engagerede i at sikre overholdelsen af direktivets krav, og at flere sektorer nu er omfattet af direktivets bestemmelser.

For de organisationer, der betragtes som essentielle enheder, vil der være en kontinuerlig form for tilsyn, der inkluderer revisioner, rapportering og peer reviews.

Organisationer kategoriseret som vigtige enheder kan forvente et tilsyn, der også involverer tvungne revisioner og rapportering, hvis der opstår mistanke om, at de ikke lever op til direktivets krav. Dette udvidede tilsyn bidrager til at skabe et mere solidt fundament for cybersikkerhed i en stadigt skiftende digital verden.

For at give en fornemmelse af hårdheden i sanktionerne, kan vi kigge på størrelse af de bøder, man kan risikere. 

Vigtige enheder kan risikere bøder på 7.000.000 EUR eller 1,4 % af den årlige omsætning, hvis dette beløb er højere. De essentielle enheder kan risikere bøder i størrelsen på 10.000.000 EUR eller 2 % af den årlige omsætning, hvis dette beløb er højere.

Er du rustet? NIS2-direktivet og din virksomhed

I lyset af den væsentlige udvidelse af NIS2-direktivets anvendelsesområde er det virkelig vigtigt, at både offentlige og private enheder træder i karakter allerede nu og tager stilling til direktivets betydning for dem.

Hvis din virksomhed er omfattet af NIS2-direktivet, bør du derfor nu sikre, at I er helt klar.

For at undersøge dette bør du:

• Lave et revideret overblik over dine informationsaktiver og forretningsprocesser for at kunne lave en risikovurdering og prioritering.
• Lave en gap-analyse af kravene i NIS2-direktivet i forhold til de foranstaltninger, du har på nuværende tidspunkt.
• Lægge en plan for implementering og vedligeholdelse af kravene i NIS2.

Især for virksomheder og offentlige institutioner, der tidligere ikke har haft NIS-direktivet på radaren, kan implementeringen af NIS2 føre til betydelige administrative og økonomiske overvejelser. Men selv for de enheder, der allerede opererer under NIS-direktivet, vil der være en nødvendighed i at afsætte ressourcer til at vurdere og integrere NIS2-direktivet. 

Uanset hvilken situation man befinder sig i, er det helt centralt, at implementeringen af NIS2 bliver et ledelsesmæssigt anliggende, og at de rette og tilstrækkelige ressourcer er til rådighed for at realisere denne indsats.