Spring til hovedindhold

Compliance

Hvad er NIS2-direktivet?

NIS2-direktivet stiller krav til IT-sikkerhed i 18 sektorer. Se om jeres virksomhed er omfattet, hvad kravene betyder, og hvordan I kommer i gang.

Kort sagt

NIS2 er et EU-direktiv, der stiller bindende krav til cybersikkerhed og risikostyring i virksomheder og organisationer inden for 18 samfundskritiske sektorer, blandt andet energi, transport, sundhed, fødevarer, digital infrastruktur og fremstilling.

Direktivet udvider det oprindelige NIS-direktiv markant, så langt flere danske virksomheder nu er omfattet, herunder mange mellemstore produktions- og forsyningsvirksomheder samt deres leverandører. Er I omfattet, skal I blandt andet gennemføre systematisk risikostyring, håndtere leverandørsikkerhed, rapportere væsentlige hændelser til myndighederne inden for korte frister og forankre ansvaret for cybersikkerhed hos ledelsen, som kan holdes personligt ansvarlig. Manglende efterlevelse kan udløse betydelige bøder og påbud fra tilsynsmyndighederne.

NIS2 er derfor ikke en ren IT-opgave, men et ledelsesansvar, der kræver dokumenterede processer og løbende opfølgning. MI Support IT hjælper danske virksomheder med at afklare, om de er omfattet af NIS2, og med at implementere de tekniske og organisatoriske tiltag, direktivet kræver.

Tilbage til ordbogen

Hvad er NIS2-direktivet?

NIS2 er EU's direktiv om net- og informationssikkerhed, efterfølgeren til det oprindelige NIS-direktiv fra 2016. Hvor NIS1 kun ramte en snæver kreds af operatører, udvider NIS2-direktivet kravene til 18 sektorer og til langt flere virksomhedsstørrelser. NIS2-loven gør cybersikkerhed til et ledelsesansvar: ledelsen skal godkende risikostyringen, føre tilsyn med den og kan holdes ansvarlig, hvis den svigter.

Hvem er omfattet af NIS2?

Direktivet skelner mellem væsentlige og vigtige enheder på tværs af sektorer som energi, transport, sundhed, drikkevand, spildevand, digital infrastruktur, offentlig forvaltning, fødevarer, affaldshåndtering og fremstilling af kritiske produkter. Som hovedregel er I omfattet, hvis I opererer i en af sektorerne og har mindst 50 ansatte eller en årsomsætning over 10 mio. euro, men der findes undtagelser begge veje.

Vær opmærksom på leverandørkæden: selv hvis I ikke selv er direkte omfattet, kan jeres kunder være det, og de skal stille sikkerhedskrav til deres leverandører. NIS2 rammer derfor bredere end organisationerne på listen.

Hvad er kravene i NIS2-loven?

Kernen er ti minimumsforanstaltninger for risikostyring, herunder:

  • Risikoanalyse og sikkerhedspolitikker for informationssystemer
  • Hændelseshåndtering med rapportering af væsentlige hændelser til myndighederne (første varsling inden for 24 timer)
  • Forretningskontinuitet: backup, disaster recovery og krisestyring
  • Leverandørsikkerhed i hele forsyningskæden
  • Kryptering, MFA og sikret kommunikation
  • Awareness-træning af ledelse og medarbejdere

Kravene minder om strukturen i ISO 27001: har I allerede et ledelsessystem for informationssikkerhed, er I godt på vej. Se også IT-compliance for det samlede overblik over regler og standarder.

Hvornår træder NIS2 i kraft i Danmark?

NIS2 er implementeret i dansk ret gennem lov om foranstaltninger til sikring af et højt cybersikkerhedsniveau med tilhørende bekendtgørelser, som fastlægger de sektorspecifikke detaljer. Da frister og bekendtgørelser løbende præciseres, bør I altid tjekke de aktuelle datoer hos Styrelsen for Samfundssikkerhed, som fører tilsyn, og finde selve lovteksten på Retsinformation. Det afgørende er ikke datoen, men at arbejdet med risikostyring og dokumentation tager måneder. Vent ikke på sidste frist.

NIS2-registrering: sådan gør I

Omfattede virksomheder skal selv registrere sig hos den relevante myndighed. Registreringen sker via Styrelsen for Samfundssikkerheds digitale løsning. Sådan griber I det an:

  1. Afklar omfattelse: match jeres aktiviteter mod sektorbilagene og størrelseskravene.
  2. Udpeg ansvarlige: en ledelsesrepræsentant og en operationel kontaktperson.
  3. Registrér enheden med stamdata, sektor og kontaktoplysninger inden for fristen.
  4. Gå i gang med gap-analysen: registrering er kun startskuddet; kravene skal efterleves løbende.

Sådan hjælper MI Support IT

Vi hjælper jer hele vejen: afklaring af om I er omfattet, gap-analyse mod de ti minimumskrav, implementering af tekniske kontroller og udarbejdelse af en IT-beredskabsplan, der holder i praksis, som en del af et samlet IT-sikkerhedsarbejde. Kontakt os for en uforpligtende snak om, hvor I står i forhold til NIS2.

Skal vi tage en snak om din virksomhed og jeres behov?

Rigtige mennesker taler til rigtige mennesker. Vi vender tilbage samme dag.