NIS2
Kom i mål med implementering af NIS2-direktivet

Hvad er NIS2?

NIS2 er et EU-direktiv, der afløser det eksisterende NIS-direktiv, som har været gældende siden 2013. NIS står for Network and Information Systems.

Direktivet gælder hele EU og har til formål at sikre, at vi får et højt og ensartet niveau af cyber- og informationssikkerhed, så vores kritiske infrastruktur og samfundskritiske tjenester er bedre rustet mod nedbrud og cybertrusler udefra.

Det nye NIS2-direktiv omfatter både langt flere sektorer end tidligere, og så skærper direktivet både kravene til tilsyn og indfører, at ledelsen kan blive holdt personligt ansvarlige, hvis de bryder loven.

Hvem er omfattet af NIS2?

NIS2 omfatter langt flere sektorer end det oprindelige NIS-direktiv. Alle aktører inden for kritisk infrastruktur er omfattet inklusiv deres leverandører. Direktivet specificerer 17 segmenter (energi, transport, finans (bankvirksomhed), finansielle markedsinfrastrukturer, sundhed, drikkevand, spildevand, digital infrastruktur, offentlig forvaltning, ydre rum, post, affaldshåndtering, kemikalier, fødevarer, digitale udbydere, uddannelse og forskning).

Mindre virksomheder med færre end 50 ansatte eller med en mindre omsætning end 10 mio. euro er som udgangspunkt ikke omfattet. Der er dog flere undtagelser. Desuden er det op til de danske myndigheder at specificere, hvem der er omfattet i Danmark.

Direktivet skelner mellem ”essentielle” og ”vigtige” segmenter, og alt efter hvilket segment man tilhører, er der forskellige krav.

NIS2 kort forklaret

Formålet med NIS2-direktivet er flersidigt, men essensen er at styrke EU’s sikkerhed og sikre fælles fodslag på tværs af medlemslandene. Både forståelse for- og implementering af cybersikkerhed er omfattet i direktivet, der desuden gælder både den offentlige sektor og private aktører.

Hvornår træder NIS2 i kraft?

Direktivet skal først implementeres som lovgivning i de respektive lande, og de berørte virksomhederne får derefter en “grace-periode” til at efterleve lovgivningen. Grundet den geopolitiske situation forventer vi en hurtig ekspedition fra de danske embedsmænd – måske allerede i 2023. NIS2 skal dog senest være implementeret i alle omfattede europæiske virksomheder, myndigheder og organisationer i 2024. Herefter vil det være de lokale myndigheder, der skal håndhæve direktivet, helt som det sker i dag med GDPR.

Hvilke krav stiller NIS2?

Kravene i NIS2 indeholder bl.a.:

  • politikker for risikoanalyse og informationssystemsikkerhed
  • håndtering af hændelser (forebyggelse, opdagelse og reaktion på hændelser)
  • driftskontinuitet og krisestyring
  • forsyningskædesikkerhed, herunder sikkerhedsrelaterede aspekter vedrørende forbindelserne mellem den enkelte enhed og dens leverandører eller tjenesteydere såsom leverandører af datalagrings- og databehandlingstjenester eller forvaltede sikkerhedstjenester
  • sikkerhed i forbindelse med erhvervelse, udvikling og vedligeholdelse af net- og informationssystemer, herunder håndtering og offentliggørelse af sårbarheder
  • politikker og procedurer (test og revision) til vurdering af effektiviteten af foranstaltninger til styring af cybersikkerhedsrisici
  • brug af kryptografi og kryptering.

Hvordan kan Conscia hjælpe vores kunder med implementeringen af NIS2? 

Conscia kan levere en samlet palette af ydelser og løsninger, der kan støtte vores kunder gennem NIS2.

Modenhedsanalyse:

Vi udfører sikkerhedsmodenhedsanalyse med certificerede sikkerhedskonsulenter uddannet i implementering og auditering af sikkerhedskontroller. Som en del af modenhedsanalysen måler vi også virksomhedens konkrete beskyttelsesevne mod cyberangreb og udarbejder konkrete anbefalinger, der understøtter NIS2 sikkerhedskrav og højere modenhed.

Risikoanalyse:

Vi kan hjælpe kunden med at få udført den nødvendige risikoanalyse for de aktiver, der er omfattet af NIS2.

Awareness:

Vi leverer sikkerhedsuddannelse i form af automatiserede systemer til håndtering af målrettet sikkerhedstræning gennem løbende individuel test af medarbejdere og træning tilpasset organisationens reelle behov i forhold til den enkelte medarbejder.

Hændelseshåndtering og incident respons:

Vi udfører forebyggelse, detektering og reaktion på hændelser ved hjælp af vores Managed Detection and Response Service (MDR), som giver kunderne 24/7 fred og ro til at håndtere forretningen, mens vi håndterer hændelserne inkl. incident respons.

Sårbarhedsstyring:

Vi opdager, vurderer og forebygger sårbarheder gennem vores sårbarhedsscanningsservice og laver vurdering og anbefaling til, hvad der skal udbedres, så vores kunder kan arbejde mere effektivt med sårbarheder.

Sikkerhedsløsninger:

Vi designer, implementerer, supporterer og drifter de nødvendige sammenhængende sikkerhedsløsninger, der afløfter de mere tekniske sikkerhedskrav som recovery, styring af aktiver, netværkssikkerhed og sikkerhed i informationssystemer, adgangskontroller og kryptering. Vi følger op på, at de nødvendige sikkerhedskontroller er implementeret som en vigtig del af løsningen, hvad enten der er tale om netværk, end-point, firewall, datacenter og Cloud.

Rapportering:

Vi understøtter kundens forpligtelse om rapportering til central CSIRT, så der bliver rapporteret rettidigt og med det nødvendige indhold.

 

Peter Koch

KONTAKT

Vil du vide mere om NIS2?

Så kontakt Peter Koch

Security Evangelist

[email protected]

Vil du vide mere om NIS2? Så download vores whitepaper

NIS2 forside

NIS er en forkortelse for Network and Information Systems, og i 2013 kom EU med det første forslag til en styrkelse af cyberforsvaret på tværs af Europa i form af NIS-direktivet.

NIS-direktivet blev tilpasset den nationale lovgivning og adopteret ved lov i 2016, men nu er efterfølgeren NIS2 klar. For at forstå NIS2, så er det godt at kende NIS-direktivet med dets hovedområder (se tabel 1).

I dette white paper kan du læse om NIS2-direktivet, få indblik i hovedmålsætningerne og hvem direktivet omfatter, samt hvilke krav direktivet stiller til de omfattede virksomheder.

Udfyld formularen og læs mere i vores whitepaper.

Conscia Services

Conscias tilgang til lifecycle sikrer det højeste niveau af service og den bedste oplevelse for kunden.

Enkle, fleksible og skalerbare tjenester, der understøtter din eksisterende infrastruktur.

Kom i mål med implementering af NIS2-direktivet

Vores prisvindende og unikke serviceportal, der giver det store overblik.

Overlad driften af AWS Cloud-platform til Conscia Cloud Team. Vores certificerede AWS-konsulenter er klar med on-call døgnsupport – året rundt.

Få bedre overblik over virksomhedens sikkerhedsindsatser med et rammeværktøj