NIS2 ændrer spillet for cybersikkerhed i EU
Hvilken betydning har det for dig og din virksomhed?
Hvad er NIS2-Direktivet?
Europa-Parlamentet har vedtaget NIS2-Direktivet, som indfører strengere lovgivningsmæssige krav til cyber– og informationssikkerhed i specifikke sektorer.
Dette Direktiv er også relevant for danske virksomheder og organisationer. Formålet er at harmonisere cybersikkerhedsniveauet på tværs af EU’s medlemslande, sikre en samlet tilgang til cybersikkerhed, og styrke beskyttelsen mod cybertrusler.
NIS2-Direktivet stiller skærpede krav til cyber- og informationssikkerhed for essentielle og vigtige virksomheder.
- Ledelsens ansvar: Ledelsen skal være bekendt med NIS2-krav og kan holdes ansvarlig for risikostyring, herunder identificering og håndtering af cyberrisici.
- Rapporteringsprocesser: Virksomheder skal have processer for rapportering af større hændelser til relevante myndigheder inden for 24 timer.
- Risikostyring: Der er øgede krav til forebyggelse og begrænsning af risici, herunder adgangskontrol, kryptering, netværkssikkerhed, og sikring af forsyningskæder.
- Driftsikkerhed: Virksomheder skal have procedurer for genopretning af systemer og etablering af en kriseorganisation til at sikre driften af samfundskritiske aktiver.
Bliv ringet op!
Gælder NIS2-Direktivvet for min virksomhed?
Virksomheder underlagt NIS2-Direktivet opdeles i to kategorier:
essentielle og vigtige sektorer.
Forskellen mellem disse grupper ligger i tilsynsførelsen og bødeniveauet ved overtrædelser af sikkerhedsforanstaltninger og anmeldelsespligt.
Omfattede sektorer inkluderer energi, transport, finansielle virksomheder, sundhed, vandforsyning, digital infrastruktur, offentlig forvaltning, rumaktivitet, post, affaldshåndtering, kemikalier, fødevarer, uddannelse og forskning.
Virksomheder inden for disse sektorer skal vurdere, hvordan NIS2 påvirker dem, særligt i forhold til kravene om sikkerhed og rapportering.
Selvom du ikke er i denne kategori, er det vigtigt at huske at direktivet “drypper nedad” altså virksomheder underlagt NIS2 kommer til at stille krav til deres leverandører, som muligvis derfra også skal stille krav til deres – med det sagt bliver hele leverandørkæden i visse tilfælde involveret.
Hvornår træder NIS2-Direktivet i kraft?
Den danske lovgivning, der implementerer NIS2-Direktivet, forventes færdiggjort midt i oktober 2024, og fra midten af januar 2025 vil tilsyn med overholdensen af direktivet begynde.
Virksomheder i de relevante sektorer bør derfor starte forberedelserne nu for at sikre overholdelse af direktivets krav.
Eero tilbyder assistance til virksomheder i denne overgangsproces for at hjælpe dem med at blive klar til tilsyn og overholde de nye regler.
Hvordan håndhæves og sanktioneres NIS2?
Under NIS2-Direktivet risikerer essentielle virksomheder bøder på op til 10 millioner euro eller 2% af den globale årlige omsætning, mens vigtige virksomheder risikerer op til 7 millioner euro eller 1,4% af den globale omsætning for overtrædelser. Direktivet lægger også vægt på, at virksomheden kan holdes ansvarlig for brud på sikkerheds- og anmeldelsespligten. Det inkluderer krav om, at ledelsen gennemgår kurser for bedre at kunne vurdere og håndtere cybersikkerhedsrisici og opfordrer til at tilbyde lignende uddannelse til alle medarbejdere.
Ofte stillede spørgsmål om NIS2
- Hvordan påvirker NIS2-direktivet leverandørkæden inden for kritiske sektorer?NIS2 øger fokus på sikkerhed inden for leverandørkæden ved at kræve, at virksomheder sikrer, at deres leverandører også overholder strenge cybersikkerhedsstandarder. Dette inkluderer vurdering af risici i leverandørkæden og sikring af, at leverandører implementerer nødvendige sikkerhedsforanstaltninger.
- Hvilke nye sektorer er inkluderet under NIS2 sammenlignet med det oprindelige NIS-direktiv?Ud over de oprindeligt dækkede sektorer udvider NIS2 sit omfang til at omfatte flere kritiske og vigtige sektorer som energi, transport, bank- og finansiel infrastruktur, sundhedssektoren og dele af den digitale infrastruktur, hvilket afspejler den stigende afhængighed af disse tjenester.
- Hvordan vil NIS2-direktivet fremme internationalt samarbejde om cybersikkerhed?NIS2 styrker internationalt samarbejde ved at forbedre informationsdeling mellem medlemsstaterne og gennem etablering af fælles rammer for risikovurdering og håndtering af cybersikkerhedstrusler, hvilket bidrager til en mere koordineret tilgang til cybersikkerhed på tværs af grænser.
- Hvordan vil virksomheder blive holdt ansvarlige under NIS2 for at sikre overholdelse?Virksomheder vil stå over for regelmæssige audits og vurderinger for at sikre overholdelse af NIS2-kravene. Manglende overholdelse kan medføre betydelige bøder og andre retlige konsekvenser, hvilket understreger vigtigheden af at opretholde høje standarder for cybersikkerhed.
- Hvad indebærer de nye rapporteringskrav under NIS2 for virksomheder og hvordan adskiller de sig fra tidligere direktiver?NIS2 introducerer mere detaljerede og strømlinede rapporteringskrav for cybersikkerhedshændelser, inklusive klarere retningslinjer for, hvad der skal rapporteres, til hvem, og inden for hvilken tidsramme. Dette sigter mod at sikre hurtigere og mere effektiv håndtering af sikkerhedshændelser for at minimere skader.
- Hvordan kan små og mellemstore virksomheder (SMV'er) navigere i kravene i NIS2, og findes der støtteordninger?Selvom NIS2 primært fokuserer på kritiske og vigtige tjenester, kan visse SMV’er falde ind under dets anvendelsesområde. Det anbefales, at SMV’er gennemgår direktivets krav og søger vejledning og støtte fra nationale cybersikkerhedsmyndigheder, som kan tilbyde ressourcer og rådgivning til at opfylde direktivets standarder.
