Hvad er NIS2-direktivet?
I en stadig mere digitaliseret verden, hvor vores samfund og økonomier er dybt afhængige af online systemer, er sikkerhed og beskyttelse af kritisk infrastruktur blevet altafgørende. Derfor vedtog Europa-Parlamentet den 10. november 2022 NIS2-direktivet, som er en opdateret udgave af NIS-direktivet. NIS2 har til formål at sikre et højt fælles niveau for net- og informationssikkerhed i Europa, og er rettet mod virksomheder og organisationer, der spiller en afgørende rolle i samfundets funktion og yder tjenester, som er vitale for vores tilværelse. En bemærkelsesværdig udvikling i NIS2 i forhold til det oprindelige NIS-direktiv, er den betydelige udvidelse af virksomheder, der bliver omfattet.
Hos TD-K A/S forstår vi udfordringen ved at navigere gennem det komplekse landskab af krav og retningslinjer i NIS2. Lad os derfor udforske, hvad direktivet handler om, hvem det påvirker, og hvordan I kan forberede jer på NIS2, hvis I bliver omfattet.
Hvem bliver omfattet?
NIS2 har en bredere rækkevidde end det oprindelig NIS-direktiv og gælder ikke kun for traditionelle infrastruktur-virksomheder men også for digitale platforme, cloududbydere og online markedspladser. Det er således en lang række sektorer samt private aktører, hvilke omfattes af direktivet og opdeles i enhederne ”væsentlige” og ”vigtige” inden for de enkelte sektorer.
Krav til sikkerhed i NIS2-direktivet
Med implementeringen af NIS2 vil ledelsen være forpligtet til at tage ansvar for sikkerheden, og der vil være krav om implementering af tiltag som risikovurderinger, beredskabsplaner og awareness-træning af medarbejderne. Virksomheder skal desuden kunne dokumentere, at de nye tiltag gennemføres, og de har fremover pligt til at indberette kritiske hændelser, ligesom det er tilfældet med GDPR i dag, men under mere skærpede forhold. Sidst men ikke mindst skal virksomhederne kunne dokumentere, at de opfylder alle kravene i praksis. Disse dokumentationskrav vil kræve en ny tilgang til sikkerhedsstruktur for mange af de berørte virksomheder.
Med implementeringen af NIS2 bliver ledelsen forpligtet til at deltage aktivt i ansvaret for sikkerheden. Dette omfatter:
Risikovurderinger: Virksomheder skal gennemføre regelmæssige risikovurderinger for at identificere potentielle trusler og svagheder i deres netværks- og informationssystemer. Dette er afgørende for at udvikle effektive sikkerhedsstrategier.
Beredskabsplaner: Beredskabsplaner skal udvikles og opdateres for at håndtere potentielle hændelser, herunder cyberangreb. Hurtig respons og genopretning er afgørende for at minimere skader.
Awareness-træning: Medarbejderne spiller en central rolle i cybersikkerhed. Awareness-træning er afgørende for at opbygge en sikkerhedskultur, hvor alle er opmærksomme på trusler og bedste praksis.
Dokumentation og rapportering: Virksomheder skal kunne dokumentere, at de har implementeret de nødvendige sikkerhedstiltag og overholder NIS2-kravene. Desuden er der en pligt til at indberette kritiske hændelser, hvilket skaber en mere gennemsigtig tilgang til cybersikkerhed.
Figur: Overblik over de vigtigste NIS2-krav
Ny tilgang til sikkerhedsstruktur
For mange virksomheder vil dokumentationskravene i NIS2 kræve en ny tilgang til deres sikkerhedsstruktur. Det er ikke længere tilstrækkeligt at have basale sikkerhedsforanstaltninger; det er nødvendigt med en dybere og mere detaljeret indsats for at opfylde de mange nye krav. Man bør ikke længere se på IT-sikkerhed som en separat og isoleret funktion, men som en integreret del af virksomhedens forretningsstrategi. Det kræver en dybere forståelse af trusler og risici, samt en løbende indsats for at tilpasse sig det evigt skiftende trusselslandskab.
Hvornår træder NIS2 i kraft?
NIS2-direktivet blev formelt vedtaget den 10. november 2022 og blev annonceret i EU-tidende den 27. december 2022. Det betyder, at direktivet trådte i kraft den 18. januar 2023 (20 dage efter annonceringen). Fra denne dato har EU-landene en frist på 18 måneder til at få NIS2 implementeret i deres lovgivning. Den danske lovgivning skal således senest træde i kraft den 18. oktober 2024. Den danske lovgivning forventes at være på plads 1. juli 2024.
Bliv klar til NIS2
For virksomheder og organisationer, der bliver berørt af NIS2, er det af afgørende betydning at få de nye krav implementeret hurtigst muligt. Her er nogle trin, der kan hjælpe med at sikre overholdelse af NIS2 uden at gå på kompromis med effektiviteten:
Ledelsens engagement: Som nævnt tidligere er ledelsens aktive deltagelse i sikkerhedsprocessen afgørende. Topledelsen skal ikke blot forstå risiciene, men også støtte og prioritere sikkerhedsinitiativerne.
Udvikling af sikkerhedspolitikker: Virksomheder bør udvikle klare og omfattende sikkerhedspolitikker, der fastlægger retningslinjer for sikkerhed og beskyttelse af informationssystemer.
Risikovurderinger: Regelmæssige risikovurderinger bør være en integreret del af sikkerhedsprocessen. Identificering af trusler og sårbarheder er afgørende for at træffe informerede beslutninger.
Beredskabsplaner: Udvikl beredskabsplaner, der er skræddersyede til at håndtere sikkerhedshændelser. Praksis og simuleringer af hændelser kan være en værdifuld del af forberedelsen.
Medarbejdertræning: Investér i awareness-træning for medarbejderne. Jo mere opmærksomme de er på trusler og bedste praksis, desto bedre kan de bidrage til sikkerheden.
Dokumentation og rapportering: Implementér systemer til at dokumentere sikkerhedsforanstaltninger og rapportere kritiske hændelser. Effektiv dokumentation vil være nøglen til overholdelse af NIS2.
Samarbejd med eksperter: Overvej at alliere dig med et erfarent IT-sikkerhedsfirma, der har ekspertise inden for NIS2-overholdelse. De kan tilbyde værdifuld rådgivning og teknologiske løsninger uden at gå på kompromis med virksomhedens mål.
Konklusion
NIS2-direktivet bringer betydelige ændringer til, hvordan vi håndterer net- og informationssikkerhed. Det kræver ikke blot tekniske opgraderinger men også en kulturel forandring i, hvordan virksomheder ser på sikkerhed. Det er en mulighed for at bygge en stærkere og mere modstandsdygtig IT-infrastruktur, der kan beskytte både virksomheden og samfundet som helhed. Ved at starte forberedelserne tidligt kan virksomheder minimere stress og omkostninger forbundet med at opfylde NIS2-kravene, og i stedet fokusere på at skabe en mere sikker digital fremtid for os alle.