NIS2 stiller nye krav til kommuner

TD-K hjælper jer i mål med direktivet 

Kommuner omfattes af NIS2

Den 6. februar 2025 fremsatte Ministeriet for Samfundssikkerhed og Beredskab tre lovforslag, der implementerer NIS2-direktivet i Danmark. Det betyder, at kommuner nu omfattes af skærpede krav til cybersikkerhed. Kravene omfatter blandt andet styrkelse af IT-sikkerhed, leverandørstyring, hurtig hændelsesrapportering og udpegning af ansvarlige for cybersikkerhed. 

TD-K har hjulpet mere end 50 virksomheder i forsyningssektoren og den private sektor med overholdelse af NIS2 minimumsdirektivet, og vi er deraf en af de førende NIS2-eksperter i Danmark. Vi kan også hjælpe jeres kommune med en struktureret og effektiv implementering, så I sikrer overholdelse af lovgivningen.

  • Vi hjælper med at implementere NIS2 på tværs af kommunens afdelinger og sikrer et samlet overblik over alle initiativer. 

     

  • Vi sørger for, at alle stakeholders arbejder sammen om NIS2 og sikrer en effektiv proces fra start til slut.

     

  • Vi hjælper med at kortlægge og vurdere jeres leverandører, så I sikrer, at de lever op til de nye krav.

  • Vi assisterer med at etablere og teste beredskabsplaner samt optimere jeres processer for hændelsesrapportering. 

  • Vi sikrer, at jeres politikker og procedurer er opdaterede og lever op til de nye krav i NIS2.

Hvordan kan TD-K hjælpe jeres kommune?

Kommuner og NIS2

Landets 98 kommuner skal implementere omfattende sikkerhedsprotokoller for at beskytte deres digitale infrastruktur mod cybertrusler. Øget tilsyn er også en nøglefaktor i NIS2-direktivet. Der vil være stærkere tilsynsforanstaltninger for at sikre, at kommuner overholder de fastsatte krav og retningslinjer. Endelig introducerer NIS2-direktivet en vigtig ændring ved at gøre ledelsen direkte ansvarlig for eventuelle brud på loven. Dette skal skabe et incitament for at ledelsen tager NIS2 alvorligt og sikrer, at deres organisation overholder direktivets bestemmelser. 

NIS2-direktivet skal sikre et højt fælles cybersikkerhedsniveau i EU

Den 10. november 2022 vedtog Europa-Parlamentet NIS2-direktivet, som skal være med til at sikre et højt fælles niveau for net- og informationssikkerhed i Europa.  Direktivet er rettet mod virksomheder og organisationer, der spiller en afgørende rolle i samfundets funktion og yder tjenester, som er vitale for vores daglige liv. En bemærkelsesværdig udvikling i NIS2-direktivet i forhold til det oprindelige NIS-direktiv er den betydelige udvidelse af de sektorer, der bliver omfattet.  

Bliv klar til NIS2

I bør påbegynde implementeringen af NIS2-kravene allerede nu. For mange kan det dog virke som en uoverskuelig opgave at efterleve det 244 sider lange NIS2-direktiv. Derfor er det en god idé at alliere sig med eksperter på området. 

Bliv klogere på NIS2

En lang række offentlige sektorer samt private aktører omfattes af direktivet og opdeles i enhederne ”væsentlige” og ”vigtige” inden for de enkelte sektorer.

Væsentlige enheder omfatter følgende sektorer

Energi

Transport

Bankvirksomhed

Sundhedssektoren

Drikke- og spildevand

Informations- og kommunikationstjenesteudbydere

Digital infrastruktur

Offentlig forvaltning

Rummet

Finansielle markedsinfrastruktur

Udbydere af Managed Services og Managed Security Services

Se detaljeret liste >

Vigtige enheder omfatter følgende sektorer

Post- og kurertjenester

Affaldshåndtering

Fremstilling, produktion og distribution af kemikalier

Fremstilling, bearbejdning og distribution af fødevarer

Forskning

Udbydere af visse digitale tjenester

Fremstilling af bl.a. elektronik, maskiner og motorkøretøjer

Se detaljeret liste >

Hvornår træder NIS2 i kraft? 

NIS2-direktivet blev formelt vedtaget den 10. november 2022 og blev annonceret i EU-tidende den 27. december 2022. Det betyder, at direktivet trådte i kraft den 18. januar 2023 (20 dage efter annonceringen). Fra denne dato havde EU-landene en frist på 18 måneder til at få NIS2 implementeret i deres lovgivning. Den danske lovgivning skulle således senest have været trådt i kraft den 18. oktober 2024, men i februar 2024 meldte Forsvarsministeriet ud, at den danske lovgivning bliver forsinket. Ifølge Ministeriet for Samfundssikkerhed og Beredskab forventes lovgivningen at træde i kraft den 1. juli 2025. En særskilt lov for energisektoren, som har til formål at implementere NIS2- og CER-direktiverne samt styrke beredskabet i energisektoren, blev dog fremsat i oktober 2024. Dette betyder, at lovgivningen for energisektoren træder i kraft den 1. marts 2025. 

Krav til sikkerhed i NIS2-direktivet

Med implementeringen af NIS2, vil ledelsen være forpligtet til at deltage i ansvaret for sikkerheden, og der vil være krav om implementering af tiltag som risikovurderinger, beredskabsplaner og awareness-træning af medarbejderne. Kommunerne skal desuden kunne dokumentere, at de nye tiltag gennemføres, og de har fremover pligt til at indberette kritiske hændelser, ligesom det er tilfældet med GDPR i dag, men under mere skærpede forhold. Sidst men ikke mindst skal kommunerne kunne dokumentere, at de opfylder alle kravene i praksis. Disse dokumentationskrav vil kræve en ny tilgang til sikkerhedsstruktur for mange af de berørte kommuner. 

Figur: Overblik over de vigtigste NIS2-krav

NIS2 er en teknisk opgave, som også kræver en strategisk og tværgående indsats. Med vores projektledelse sikrer vi, at jeres kommune er på forkant med de nye krav og opnår en robust og fremtidssikret cybersikkerhed.

Kontakt

Niels Vestergaard

Kommerciel direktør hos TD-K A/S

NIS2-revision

Processen 

Vi arbejder ud fra en pragmatisk og let forståelig model, der tilsikrer, at alle involverede i jeres virksomhed forstår, hvad der bliver sagt og skrevet. Vores mål er at beskytte jer mod cybertrusler og sørge for, at I opfylder kravene i NIS2-direktivet. 

Vælg den rigtige leverandør til jeres NIS2-kontrol

Det kan være forskellen på, om I klarer sig igennem et cyberangreb. Jeres IT- og OT-miljø skal være i stand til at modstå et reelt angreb i praksis og ikke kun på papiret. Derfor er der nogle afgørende faktorer I bør være opmærksomme på, inden I indgår en aftale med en NIS2-kontrolvirksomhed.

Vi kan på baggrund af vores analyse, og efterfølgende kontrol garantere, at vores NIS2-rapport afspejler virkeligheden og er konstant opdateret i forhold til de aktuelle trusler, der kan påvirke jeres IT- og OT-infrastruktur. Dette er af afgørende betydning i tilfælde af en sikkerhedshændelse. Ud over at have de bedste forudsætninger for at kunne modstå angreb, vil I have faktisk dokumentation for at have opfyldt jeres forpligtigelser i henhold til NIS2-direktivet.

Vi påtager os hele arbejdet, og friholder derfor jer og jeres leverandører for at udføre NIS2-kontroller på egne systemer. Alt materiale, herunder selve NIS2-kontrollerne og konklusionerne på GAP-analysen, beskrives på letforståeligt dansk og præsenteres i et overskueligt farvekodet dashboard. Dashboardet er dynamisk og vil efter den indledende NIS2-kontrol fungere som et styringsværktøj, der giver jer mulighed for nemt at overvåge, om jeres IT- og OT- miljø lever op til NIS2-kravene.

Tre spørgsmål I bør stille jeres NIS2-leverandør

Flere virksomheder hævder at kunne guide jer gennem en NIS2-kontrol. Men der er visse kritiske spørgsmål I bør stille, inden I indgår en aftale!

Spørgsmål:

  • Eller er det blot en informationsindsamling fra jer selv og jeres leverandører? At sende et spørgeskema til en nuværende leverandør svarer til at bede dem læse korrektur på en tekst, de selv har skrevet. Hos TD-K undersøger vi selv jeres IT-/OT- infrastruktur herunder servere, netværksudstyr, adgange og andre enheder – med andre ord, vi udfører en ægte audit. Baseret på disse data udarbejder vi en uvildig GAP-analyse. Det kan vi, fordi vi har højt certificerede teknikere.

  • Det er afgørende, at der er indbygget systemscannere i løsningen, som samler oplysninger fra jeres cloud- og lokale IT/OT-miljøer og tilknytter dem de forskellige kontroller. Dette omhandler f.eks. en liste med servere, PC’er, brugere, oplysninger om kryptering, backup, antivirus og andre sikkerhedsforanstaltninger. For at imødekomme NIS2-kravene er det nødvendigt med en kontinuerlig overvågning og kontrol af alle tilknyttede kritiske enheder i IT- og OT-netværket, herunder de interne procedurer der knytter sig til disse. Det kræver en løsning med kontinuerlig, opdateret og uvildig scanning af det tekniske miljø.

  • Det er vigtigt, at kontrollen er så transparant og uvildig som muligt i forhold til kontroller og analyser. En kontrolvirksomhed kan samarbejde med IT- og OT-leverandører, men bør ikke have økonomiske incitamentsaftaler med dem.

Compliance Manager

Effektivt NIS2-redskab

Vi forstår udfordringen ved at navigere gennem det komplekse landskab af krav og retningslinjer i NIS2. Vores Compliance Manager er designet med netop det for øje! Med TD-K Compliance Manager er I altid opdateret med de seneste regler og regulativer, og I kan nemt og effektivt overvåge og administrere jeres virksomheds NIS2-compliance-status. 

Fuldt overblik

Vores brugervenlige dashboard giver øjeblikkelig indsigt i, hvor jeres kommune befinder sig i forhold til NIS2-kravene. I kan hurtigt identificere områder, der kræver opmærksomhed og træffe de nødvendige foranstaltninger for at forblive i overensstemmelse med lovgivningen. En af de mest kraftfulde funktioner i vores Compliance Manager er evnen til at generere omfattende rapporter og dokumentation. Dette er afgørende, når I skal rapportere til myndighederne eller vise overholdelsesstatus til interessenter.  

Fordele ved Compliance Manager

✅  Hurtig risikovurdering 

✅  Nem opdatering 

✅  Tilpas efter jeres behov 

✅  Godt overblik 

✅  Bevis på overholdelse 

✅  Leverandørstyring 

Kom godt i gang med NIS2

Med TD-Ks NIS2-publikation, får du indblik i direktivets krav, implementeringsstrategier og bedste praksis til overholdelse.

Få udarbejdet en NIS2-compliance rapport

I en digital tidsalder, hvor datasikkerhed er afgørende, er efterlevelse af NIS2-kravene ikke bare en mulighed – det er et uundgåeligt krav. Hos TD-K er vi klar til at guide jer gennem den komplekse verden af NIS2 med vores NIS2-compliance rapport. 

NIS2-compliance:

En uundværlig beskyttelse 

Vores NIS2-compliance rapport er ikke blot et dokument – det er jeres sikkerhed. Vi forstår, at NIS2-kravene kan være udfordrende for mange kommuner. Derfor sørger vi for, at jeres kommune ikke blot opfylder, men også forstår kravene. Vi samarbejder tæt med vores juridiske partner for at dække både de tekniske og juridiske aspekter. 

En enkelt vej til efterlevelse 

Vi forstår, at efterlevelsen af NIS2-kravene kan føles som en kompleks udfordring. Derfor har vi skabt en letforståelig og struktureret proces, der guider dig mod en mere beskyttet digital fremtid. Vi gennemgår jeres systemer, udfører due diligence og gap-analyse og skaber klarhed om, hvad der skal til for at styrke jeres IT-sikkerhed, så I overholder alle kravene i NIS2-direktivet. 

Sikring af jeres fremtid 

Når det handler om jeres kommunes sikkerhed, overlader vi intet til tilfældighederne. Vi har skabt en solid platform for jeres fremtid ved at basere vores NIS2-arbejde på disse anerkendte standarder: ISO 27001, CIS V8 og IEC 62443. Dette betyder, at vores tilgang ikke blot handler om at levere en rapport, men om at forankre jeres kommune i en sikker digital ramme. 

Mange fordele:

  • Opfyld NIS2-kravene uden besvær og beskyt jeres kommune.

  • Vores rapport giver jer en klar og forståelig vejledning gennem NIS2-kravene .

  • Vi simplificerer de komplekse krav, så I kan fokusere på det, I er gode til.

  • Vi arbejder sammen med vores juridiske partner for at sikre både tekniske og juridiske aspekter.