KAMPEN MOD CYBERTRUSLER

NIS 2 står for Net- og Informationssikkerhedsdirektiv 2. Det er en opdatering af det oprindelige NIS-direktiv, der blev vedtaget af EU-Parlamentet for at styrke cybersikkerheden og beskytte vigtige samfunds- og digitale tjenester i EU.

I forhold til NIS (1) udvider NIS 2 dækningen af sektorer, skærper sikkerhedskravene og introducerer strammere tilsyn samt mulighed for at holde ledelsen ansvarlig for cybersikkerhed. Formålet er at etablere et mere robust og harmoniseret cybersikkerhedsmiljø på tværs af medlemslandene.

Deadline for implementering og eferlevelse af kravene er ultimo 2024. Men skal I efterleve kravene?

HVEM SKAL EFTERLEVE KRAVENE?

Der er undtagelser, men som udgangspunkt lægger direktivet op til, at alle private- og offentlige enheder der varetager vigtige funkitoner i samfundet, skal efterleve kravene.

Det omfatter primært enheder med minimum 50 ansatte og en årlig omsætning på 10 mio. euro eller en årlig balance på 43 mio. euro.

Man skal samtidigt være opmærksom på, at der skelnes mellem "væsentlige enheder" eller "vigtige enheder", som enten leverer ydelser eller afvikler deres aktiviteter indenfor EU.

I Danmark er der pt. omkring 1.500 berørte enheder.

Som skrevet er der undtagelser. For mikrovirksomheder og små virksomheder, det vil sige virksomheder, der har under 50 ansatte og en årlig omsætning eller samlet årlig balance på under 10 mio. EUR, er som udgangspunkt ikke omfattet af NIS2-direktivet uanset, at de kategoriseres som væsentlige eller vigtige enheder. Den enkelte medlemsstat kan samtidigt beslutte at undtage enheder indenfor forsvar, national sikkerhed og retshåndhævelse fra NIS 2.

På trods af undtagelsen er der dog alligevel visse mikro- og små virksomheder, der er alligevel er omfattet. Det er:

Udbydere af offentlige elektroniske kommunikationsnet eller offentlige tilgængelige elektroniske kommunikationstjenester
Tillidstjenesteudbydere (valideringstjenester)
Udbydere af topdomænenavneregistre (TLD) og domænenavnssystemer (DNS)
Enheder, der er eneudbyder af en ydelse i en medlemsstat, som er væsentlig for vedligeholdelsen af kritiske samfundsmæssige eller økonomiske aktiviteter
Enheder, der leverer ydelser der er kritiske for samfundet, offentligheden eller en konkret sektor.

VÆSENTLIG ELLER VIGTIG?

VÆSENTLIGE ENHEDER

Energi (elektricitet, fjernvarme, olie, gas og brint)
Transport (luft, jernbane, vand og vej)
Bankvirksomhed (kreditinstitutter)
Finansielle markedsinfrastrukturer (markedspladser)
Sundhedssektoren (sundhedstjenesteydere og producenter af lægemidler mv.)
Drikke- og spildevand
Digital infrastruktur (bl.a. udbydere af cloud ydelser, datacentre, domænenavnssystemer (DNS), topdomæneregistre (TLD) og offentlige kommunikationsnet)
Informations- og kommunikationstjenesteudbydere (ICT-services)
Udbydere af managed services og managed security services
Offentlig forvaltning (undtagen Folketinget, domstolene og Nationalbanken)
Rummet (operatører af jordbaseret infrastruktur)

VIGTIGE ENHEDER

Post- og kurertjenester
Affaldshåndtering
Fremstilling, produktion og distribution af kemikalier
Fremstilling, bearbejdning og distribution af fødevarer
Fremstilling af bl.a. elektronik, maskiner og motorkøretøjer
Udbydere af visse digitale tjenester (onlinemarkedspladser og -søgemaskiner samt sociale netværkstjenester)
Forskning (højere læreanstalter og forskningsinstitutioner)

DE VÆSENTLIGSTE KRAV I NIS 2

NIS 2 er omfattende og har mange flere krav end dem der nævnes her.

Her er nogle eksempler på de væsentligste krav.

LEDELSEN

skal kende og overholde krav og risikostyring og har et direkte ansvar for, at cyberrisici bliver identificeret og håndteret

Ledelsens ansvar vægtes højt. Det er ledelsens ansvar at godkende og sikre ordentlige sikkerhedsforanstaltninger samt sikre, at der føres tilsyn med IT-sikkerheden.

Ledelsen er direkte ansvarlig for, at ovenstående overholdes, ligesom de også skal kunne bevise, at relevante sikkerhedskontroller bliver udført. Hvis ikke, kan ledelsen nu sanktioneres direkte.

Derfor skal ledelsen løbende uddannes for at forstå og handle ordentligt på risici vedr. cybersikkerhed, samt kunne vurdere disses indvirkning på virksomhedens drift.

RISIKOSTYRING

Der skal laves passende og forholdsmæssige tekniske og organisatoriske foranstaltninger for at håndtere risikostyringen og begrænse skaderne ved et eventuelt sikkerhedsbrud. Disse omfatter som minimum:

Politikker for risikoanalyse og informationssikkerhed
Håndtering af hændelser
Driftskontinuitet og krisestyring
Forsyningskædesikkerhed
Sikkerhed ifm. net og informationssystemer inkl. offentliggørelse af sårbarheder
Politikker og procedurer til at vurdere effektiviteten af måden, sikkerhedsrisici håndteres
Retningslinjer for basal “computer hygiejne” og træning i cybersikkerhed
Politikker for brug af kryptografi og kryptering
Medarbejdersikkerhed, adgangskontrol og asset management
Sikring af interne kommunikationssystemer.

UNDERRETNINGSPLIGT INDENFOR 24 TIMER

Der er oprettet nationale Computer Incident Response Teams (CSIRT), som skal underrettes om væsentlige hændelser og cybertrusler. I Danmark håndteres dette af Center for Cybersikkerhed (CFCS). Underretningen skal ske ske hurtigst muligt og indenfor 24 timer.

En hændelse anses som væsentlig, hvis den eller cybertruslen har forårsaget eller potentielt kan forårsage væsentlige leverings- eller driftsforstyrrelser eller økonomiske tab for enheden, eller hvis hændelsen har påvirket eller kan påvirke andre personer gennem betydelige materielle eller immaterielle tab.

EN GOD START

Som ovenstående indikerer er NIS 2 direktivet omfattende for de fleste virksomheder. Derfor er det vigtigt, at få en god start.

Ta´ fat i en af vores specialister på området, og få den bedste rådgivning til, hvordan I nemmest får implementeret direktivet, bliver compliant, hærder forretningen mod cyberkriminalitet og ikke mindst viser ansvarlig ledelse overfor kunder, forretningsforbindelser og ansatte.

Økonomisk set, er det også en god investering, i forhold til de bøder der risikeres.

Kontakt os gerne for en uforpligtende snak

KONTAKT OS