Hvad er NIS2-direktivet?
NIS2-direktivet opdaterer og udvider det oprindelige NIS-direktiv for at styrke cybersikkerheden inden for EU. Det sigter mod at forbedre modstandsdygtigheden og reaktionen over for cybertrusler på tværs af vitale sektorer og digitale tjenester.
Hvad står NIS2-direktivet for?
NIS2 står for Network and Information Systems Directive 2 og introducerer strammere sikkerhedskrav og rapporteringsforpligtelser for en bredere kreds af virksomheder, herunder vigtige tjenesteudbydere og digitale platforme.
Hvem er omfattet af NIS2-direktivet?
Udvidelsen omfatter sektorer som energi, transport, bankvæsen, sundhedsvæsen, digitale infrastrukturer, offentlig forvaltning, og nu også leverandører af offentlige digitale tjenester samt vigtige digitale platforme som sociale netværk og cloud-tjenester. Bemærk at du som underleverandør til disse brancher også kan blive omfattet af kravene i direktivet.
Hvornår træder NIS2-direktivet i kraft?
Den oprindelige deadline for EU's implementering af NIS2-direktivet var sat til 17. oktober 2024. Forsinkelser har dog ramt Danmark, hvor Forsvarsministeriet nu forventer at de relevante lovforslag vil træde i kraft den 1. marts 2025. Dette skyldes en udskydelse i fremsættelsen af NIS 2- og CER-lovforslagene, som blev meddelt på Forsvarsministeriets hjemmeside den 18. marts 2024.
Hvilke minimumskrav stiller NIS2-direktivet til din organisation?
Ledelsesforpligtelse: Krav om at ledelsen engagerer sig direkte i cybersikkerhedsstyring.
Risikovurdering og risikoanalyse: Forbedret og regelmæssig vurdering og styring af cybersikkerhedsrisici.
Hændelsesrapportering: Udvidede krav til rapportering af cybersikkerhedshændelser til nationale myndigheder.
Sikkerhedsforanstaltninger: Styrkede sikkerhedsforanstaltninger for at beskytte netværk og informationssystemer.
Cyberhygiejne og awareness: Grundlæggende sikkerhedstiltag såsom regelmæssige opdateringer, stærke adgangskoder, multi-faktor autentificering, og sikkerhedsbevidsthedstræning.
Informationssikkerhedspolitik: Implementering af en informationssikkerhedspolitik som tager afsæt i virksomhedens konkrete forhold.
Standarder
Et godt afsæt til at komme i gang med at blive complient kan være at arbejde udfra IEC standarderne.
ISO/IEC 27001, 27002, og 27005 standarderne støtter NIS2-direktivets mål om forbedret cybersikkerhed. ISO/IEC 27001 fokuserer på den overordnede struktur. 27002 giver vejledning om sikkerhedspraksis og kontroller. 27005 hjælper med at identificere, vurdere og behandle sikkerhedsrisici. Disse standarder hjælper organisationer med at implementere effektive sikkerhedsforanstaltninger og risikostyring, hvilket er essentielt for at opfylde NIS2's krav.
DBI kan hjælpe jer med at leve op til de nye lovkrav
Konkret kan vi hjælpe med:
- Risikoanalyse
- GAP-analyse
- Business Impact analyse og Business Continuity-planer (BCP)
- Udarbejdelse af rammer for informationssikkerhedspolitikker, herunder krisehåndtering og krisekommunikation
- Udarbejdelse af beredskabsplaner
- Recovery-planer
- Træning af medarbejdere
- Krisestyringsøvelser
Vil du vide mere om NIS2?
Følg med i vores artikelserie her, hvor vi løbende skriver om delelementer i direktivet:
19.08.24: NIS2: Gør medarbejderne mindre menneskelige
01.07.24: NIS2: Vær på vagt med netværk og informationssystemer
03.06.24: NIS2: Hvad med forsyningskæden – har du styr på den?
26.04.24: NIS2: Sådan fortsætter du driften, hvis skaden sker
21.03.24: NIS2: Ved du, hvordan du skal håndtere hændelser?
07.02.24: NIS2 nærmer sig: Er din virksomhed klar?