Skærpet sikkerhed for virksomheder, der er vigtige for samfundet
Den 10. november 2022 vedtog Europa-Parlamentet NIS2-direktivet, som skal være med til at sikre et højt fælles niveau for net- og informationssikkerhed i Europa. Direktivet er rettet mod virksomheder og organisationer, der spiller en afgørende rolle i samfundets funktion og yder tjenester, som er vitale for vores daglige liv. En bemærkelsesværdig udvikling i NIS2-direktivet i forhold til det oprindelige NIS-direktiv er den betydelige udvidelse af de sektorer, der bliver omfattet.
Virksomheder, der er afgørende for samfundets funktion, skal implementere omfattende sikkerhedsprotokoller for at beskytte deres digitale infrastruktur mod cybertrusler. Øget tilsyn er også en nøglefaktor i NIS2-direktivet. Der vil være stærkere tilsynsforanstaltninger for at sikre, at virksomheder overholder de fastsatte krav og retningslinjer. Endelig introducerer NIS2-direktivet en vigtig ændring ved at gøre ledelsen direkte ansvarlig for eventuelle brud på loven. Dette skaber et incitament for virksomhedsledere til at tage NIS2 alvorligt og sikre, at deres organisationer overholder direktivets bestemmelser.
Bliv klar til NIS2 allerede nu
I kan med fordel påbegynde implementeringen af NIS2-kravene i jeres virksomhed allerede nu, så I er klar, når direktivet træder i kraft. For mange virksomheder kan det dog virke som en uoverskuelig opgave at efterleve det 244 sider lange NIS2-direktiv. Derfor er det en god idé at alliere sig med eksperter på området.
Se om jeres virksomhed bliver omfattet af NIS2
En lang række sektorer samt private aktører omfattes af direktivet og opdeles i enhederne ”væsentlige” og ”vigtige” inden for de enkelte sektorer.
Hvornår træder NIS2 i kraft?
NIS2-direktivet blev formelt vedtaget den 10. november 2022 og blev annonceret i EU-tidende den 27. december 2022. Det betyder, at direktivet trådte i kraft den 18. januar 2023 (20 dage efter annonceringen). Fra denne dato havde EU-landene en frist på 18 måneder til at få NIS2 implementeret i deres lovgivning. Den danske lovgivning skulle således senest have været trådt i kraft den 18. oktober 2024, men implementeringen af NIS2-direktivet er blevet udskudt flere gange.
Ifølge lovprogrammet for det kommende folketingsår 2024-2025 fremsættes lovforslaget først i februar 2025. Hvornår lovforslaget vil være færdigbehandlet, vides ikke, men forventningen fra flere sider er, at lovgivningen træder i kraft senest den 1. juli 2025.
En særskilt lov for energisektoren, som har til formål at implementere NIS2- og CER-direktiverne samt styrke beredskabet i energisektoren, blev dog fremsat i oktober 2024. Dette betyder, at lovgivningen træder i kraft den 1. marts 2025 for energisektoren.
Krav til sikkerhed i NIS2-direktivet
Med implementeringen af NIS2, vil ledelsen være forpligtet til at deltage i ansvaret for sikkerheden, og der vil være krav om implementering af tiltag som risikovurderinger, beredskabsplaner og awareness-træning af medarbejderne. Virksomheder skal desuden kunne dokumentere, at de nye tiltag gennemføres, og de har fremover pligt til at indberette kritiske hændelser, ligesom det er tilfældet med GDPR i dag, men under mere skærpede forhold. Sidst men ikke mindst skal virksomhederne kunne dokumentere, at de opfylder alle kravene i praksis. Disse dokumentationskrav vil kræve en ny tilgang til sikkerhedsstruktur for mange af de berørte virksomheder.
Figur: Overblik over de vigtigste NIS2-krav
NIS2-revision: Processen
Vi arbejder ud fra en pragmatisk og let forståelig model, der tilsikrer, at alle involverede i jeres virksomhed forstår, hvad der bliver sagt og skrevet. Vores mål er at beskytte jer mod cybertrusler og sørge for, at I opfylder kravene i NIS2-direktivet.
Vælg den rigtige leverandør til jeres NIS2-kontrol
Det kan være forskellen på, om jeres virksomhed klarer sig igennem et cyber angreb. Jeres IT- og OT-miljø skal være i stand til at modstå et reelt angreb i praksis og ikke kun på papiret. Derfor er der nogle afgørende faktorer, som I bør være opmærksomme på, inden I indgår en aftale med en NIS2-kontrolvirksomhed.
Vi kan på baggrund af vores analyse, og efterfølgende kontrol garantere, at vores NIS2-rapport afspejler virkeligheden og er konstant opdateret i forhold til de aktuelle trusler, der kan påvirke jeres IT- og OT-infrastruktur. Dette er af afgørende betydning i tilfælde af en sikkerhedshændelse. Ud over at have de bedste forudsætninger for at kunne modstå angreb, vil I have faktisk dokumentation for at have opfyldt jeres forpligtigelser i henhold til NIS2-direktivet.
Vi påtager os hele arbejdet, og friholder derfor jer og jeres leverandører for at udføre NIS2-kontroller på egne systemer. Alt materiale, herunder selve NIS2-kontrollerne og konklusionerne på GAP- analysen, beskrives på letforståeligt dansk og præsenteres i et overskueligt farvekodet dashboard. Dashboardet er dynamisk og vil efter den indledende NIS2-kontrol fungere som et styringsværktøj, der giver jer mulighed for nemt at overvåge, om jeres IT- og OT- miljø lever op til NIS2-kravene.
Tre spørgsmål I bør stille jeres NIS2-leverandør
Flere virksomheder hævder at kunne guide jer gennem en NIS2-kontrol. Men der er visse kritiske spørgsmål I bør stille, inden I indgår en aftale:
-
Eller er det blot en informationsindsamling fra jer selv og jeres leverandører? At sende et spørgeskema til en nuværende leverandør svarer til at bede dem læse korrektur på en tekst, de selv har skrevet. Hos TD-K undersøger vi selv jeres IT-/OT- infrastruktur herunder servere, netværksudstyr, adgange og andre enheder – med andre ord, vi udfører en ægte audit. Baseret på disse data udarbejder vi en uvildig GAP-analyse. Det kan vi, fordi vi har højt certificerede teknikere.
-
Dette omhandler f.eks. en liste med servere, PC’er, brugere, oplysninger om kryptering, backup, antivirus og andre sikkerhedsforanstaltninger. For at imødekomme NIS2-kravene er det nødvendigt med en kontinuerlig overvågning og kontrol af alle tilknyttede kritiske enheder i IT- og OT-netværket, herunder de interne procedurer der knytter sig til disse. Det kræver en løsning med kontinuerlig, opdateret og uvildig scanning af det tekniske miljø.
-
Det er vigtigt, at kontrollen er så transparant og uvildig som muligt i forhold til kontroller og analyser. En kontrolvirksomhed kan samarbejde med IT- og OT-leverandører, men bør ikke have økonomiske incitamentsaftaler med dem.
Compliance Manager: Effektivt NIS2-redskab
Vi forstår udfordringen ved at navigere gennem det komplekse landskab af krav og retningslinjer i NIS2. Vores Compliance Manager er designet med netop det for øje! Med TD-K Compliance Manager er I altid opdateret med de seneste regler og regulativer, og I kan nemt og effektivt overvåge og administrere jeres virksomheds NIS2-compliance-status.
Fuldt overblik
Vores brugervenlige dashboard giver øjeblikkelig indsigt i, hvor jeres virksomhed befinder sig i forhold til NIS2-kravene. I kan hurtigt identificere områder, der kræver opmærksomhed og træffe de nødvendige foranstaltninger for at forblive i overensstemmelse med lovgivningen. En af de mest kraftfulde funktioner i vores Compliance Manager er evnen til at generere omfattende rapporter og dokumentation. Dette er afgørende, når I skal rapportere til myndighederne eller vise overholdelsesstatus til interessenter.
Billede: Compliance Manager giver et fuldt overblik over jeres NIS2-status.
Fordele ved Compliance Manager
✅ Hurtig risikovurdering
✅ Nem opdatering
✅ Tilpas efter jeres behov
✅ Godt overblik
✅ Bevis på overholdelse
✅ Leverandørstyring
Få udarbejdet en NIS2-compliance rapport af TD-K
I en digital tidsalder, hvor datasikkerhed er afgørende, er efterlevelse af NIS2-kravene ikke bare en mulighed – det er et uundgåeligt krav. Hos TD-K er vi klar til at guide jer gennem den komplekse verden af NIS2 med vores NIS2-compliance rapport.
NIS2-compliance: En uundværlig beskyttelse
Vores NIS2-compliance rapport er ikke blot et dokument – det er jeres sikkerhed. Vi forstår, at NIS2-kravene kan være udfordrende for mange virksomheder. Derfor sørger vi for, at jeres virksomhed ikke blot opfylder, men også forstår kravene. Vi samarbejder tæt med vores juridiske partner for at dække både de tekniske og juridiske aspekter.
En enkelt vej til efterlevelse
Vi forstår, at efterlevelsen af NIS2-kravene kan føles som en kompleks udfordring. Derfor har vi skabt en letforståelig og struktureret proces, der guider dig mod en mere beskyttet digital fremtid. Vi gennemgår jeres systemer, udfører due diligence og gap-analyse og skaber klarhed om, hvad der skal til for at styrke jeres IT-sikkerhed, så I overholder alle kravene i NIS2-direktivet.
Sikring af jeres fremtid
Når det handler om jeres virksomheds sikkerhed, overlader vi intet til tilfældighederne. Vi har skabt en solid platform for jeres fremtid ved at basere vores NIS2-arbejde på internationalt anerkendte standarder som ISO 27001, CIS V8 og IEC 62443. Dette betyder, at vores tilgang ikke blot handler om at levere en rapport, men om at forankre jeres virksomhed i en sikker digital ramme.
Mange fordele
✅ Efterlevelse af krav: Opfyld NIS2-kravene uden besvær og beskyt jeres virksomhed
✅ Tydelig guidning: Vores rapport giver jer en klar og forståelig vejledning gennem NIS2-kravene
✅ Undgå kompleksitet: Vi simplificerer de komplekse krav, så I kan fokusere på det, I er gode til
✅ Helhedsorienteret løsning: Vi arbejder sammen med vores juridiske partner for at sikre både tekniske og juridiske aspekter