Hvad er NIS2-direktivet?
NIS2 er EU's direktiv om net- og informationssikkerhed, efterfølgeren til det oprindelige NIS-direktiv fra 2016. Hvor NIS1 kun ramte en snæver kreds af operatører, udvider NIS2-direktivet kravene til 18 sektorer og til langt flere virksomhedsstørrelser. NIS2-loven gør cybersikkerhed til et ledelsesansvar: ledelsen skal godkende risikostyringen, føre tilsyn med den og kan holdes ansvarlig, hvis den svigter.
Hvem er omfattet af NIS2?
Direktivet skelner mellem væsentlige og vigtige enheder på tværs af sektorer som energi, transport, sundhed, drikkevand, spildevand, digital infrastruktur, offentlig forvaltning, fødevarer, affaldshåndtering og fremstilling af kritiske produkter. Som hovedregel er I omfattet, hvis I opererer i en af sektorerne og har mindst 50 ansatte eller en årsomsætning over 10 mio. euro, men der findes undtagelser begge veje.
Vær opmærksom på leverandørkæden: selv hvis I ikke selv er direkte omfattet, kan jeres kunder være det, og de skal stille sikkerhedskrav til deres leverandører. NIS2 rammer derfor bredere end organisationerne på listen.
Hvad er kravene i NIS2-loven?
Kernen er ti minimumsforanstaltninger for risikostyring, herunder:
- Risikoanalyse og sikkerhedspolitikker for informationssystemer
- Hændelseshåndtering med rapportering af væsentlige hændelser til myndighederne (første varsling inden for 24 timer)
- Forretningskontinuitet: backup, disaster recovery og krisestyring
- Leverandørsikkerhed i hele forsyningskæden
- Kryptering, MFA og sikret kommunikation
- Awareness-træning af ledelse og medarbejdere
Kravene minder om strukturen i ISO 27001: har I allerede et ledelsessystem for informationssikkerhed, er I godt på vej. Se også IT-compliance for det samlede overblik over regler og standarder.
Hvornår træder NIS2 i kraft i Danmark?
NIS2 er implementeret i dansk ret gennem lov om foranstaltninger til sikring af et højt cybersikkerhedsniveau med tilhørende bekendtgørelser, som fastlægger de sektorspecifikke detaljer. Da frister og bekendtgørelser løbende præciseres, bør I altid tjekke de aktuelle datoer hos Styrelsen for Samfundssikkerhed, som fører tilsyn, og finde selve lovteksten på Retsinformation. Det afgørende er ikke datoen, men at arbejdet med risikostyring og dokumentation tager måneder. Vent ikke på sidste frist.
NIS2-registrering: sådan gør I
Omfattede virksomheder skal selv registrere sig hos den relevante myndighed. Registreringen sker via Styrelsen for Samfundssikkerheds digitale løsning. Sådan griber I det an:
- Afklar omfattelse: match jeres aktiviteter mod sektorbilagene og størrelseskravene.
- Udpeg ansvarlige: en ledelsesrepræsentant og en operationel kontaktperson.
- Registrér enheden med stamdata, sektor og kontaktoplysninger inden for fristen.
- Gå i gang med gap-analysen: registrering er kun startskuddet; kravene skal efterleves løbende.
Sådan hjælper MI Support IT
Vi hjælper jer hele vejen: afklaring af om I er omfattet, gap-analyse mod de ti minimumskrav, implementering af tekniske kontroller og udarbejdelse af en IT-beredskabsplan, der holder i praksis, som en del af et samlet IT-sikkerhedsarbejde. Kontakt os for en uforpligtende snak om, hvor I står i forhold til NIS2.