NIS2
Kom i mål med implementering af NIS2-direktivet

Hvad er NIS2?

NIS2 er et EU-direktiv, der afløser det eksisterende NIS-direktiv, som har været gældende siden 2013. NIS står for Network and Information Security.

Direktivet gælder hele EU og har til formål at sikre, at vi får et højt og ensartet niveau af cyber- og informationssikkerhed, så vores kritiske infrastruktur og samfundskritiske tjenester er bedre rustet mod nedbrud og cybertrusler udefra.

Det nye NIS2-direktiv omfatter både langt flere sektorer end tidligere, og så skærper direktivet både kravene til tilsyn og indfører, at ledelsen kan blive holdt personligt ansvarlige, hvis de bryder loven.

Hvem er omfattet af NIS2?

NIS2 omfatter langt flere sektorer end det oprindelige NIS-direktiv. Alle aktører inden for kritisk infrastruktur er omfattet inklusiv deres leverandører. Direktivet specificerer 17 segmenter (energi, transport, finans (bankvirksomhed), finansielle markedsinfrastrukturer, sundhed, drikkevand, spildevand, digital infrastruktur, offentlig forvaltning, ydre rum, post, affaldshåndtering, kemikalier, fødevarer, digitale udbydere, uddannelse og forskning).

Mindre virksomheder med færre end 50 ansatte eller med en mindre omsætning end 10 mio. euro er som udgangspunkt ikke omfattet. Der er dog flere undtagelser. Desuden er det op til de danske myndigheder at specificere, hvem der er omfattet i Danmark.

Direktivet skelner mellem ”essentielle” og ”vigtige” segmenter, og alt efter hvilket segment man tilhører, er der forskellige krav.

NIS2 kort forklaret

Formålet med NIS2-direktivet er flersidigt, men essensen er at styrke EU’s sikkerhed og sikre fælles fodslag på tværs af medlemslandene. Både forståelse for- og implementering af cybersikkerhed er omfattet i direktivet, der desuden gælder både den offentlige sektor og private aktører.

Hvornår træder NIS2 i kraft?

Direktivet skal først implementeres som lovgivning i de respektive lande, og de berørte virksomhederne får derefter en “grace-periode” til at efterleve lovgivningen. Grundet den geopolitiske situation forventer vi en hurtig ekspedition fra de danske embedsmænd – måske allerede i 2023. NIS2 skal dog senest være implementeret i alle omfattede europæiske virksomheder, myndigheder og organisationer i 2024. Herefter vil det være de lokale myndigheder, der skal håndhæve direktivet, helt som det sker i dag med GDPR.

Hvilke krav stiller NIS2?

Kravene i NIS2 indeholder bl.a.:

• politikker for risikoanalyse og informationssystemsikkerhed
• håndtering af hændelser (forebyggelse, opdagelse og reaktion på hændelser)
• driftskontinuitet og krisestyring
• forsyningskædesikkerhed, herunder sikkerhedsrelaterede aspekter vedrørende forbindelserne mellem den enkelte enhed og dens leverandører eller tjenesteydere såsom leverandører af datalagrings- og databehandlingstjenester eller forvaltede sikkerhedstjenester
• sikkerhed i forbindelse med erhvervelse, udvikling og vedligeholdelse af net- og informationssystemer, herunder håndtering og offentliggørelse af sårbarheder
• politikker og procedurer (test og revision) til vurdering af effektiviteten af foranstaltninger til styring af cybersikkerhedsrisici
• brug af kryptografi og kryptering.