Har du styr på sikkerheden?

NIS2-direktivet er næsten klar – er du?

Moderniseringen af det oprindelige NIS-direktiv (net og -informationssikkerhed) fra 2016 er på trapperne og det handler om at højne it-sikkerheden og øge robustheden af de digitale systemer. Konsekvenserne ved ikke at leve op til direktivet kan sidestilles med følgevirkningerne efter indførelsen af Databeskyttelsesforordningen (GDPR) – og bødestørrelserne er på op til 2 % af en virksomheds globale omsætning eller op til 10 mio. euro.

NIS2 forventes vedtaget og offentliggjort med sin endelige ordlyd i september 2022. Der er tale om væsentligt øgede krav til organisationer omfattet af det oprindelige NIS-direktiv, og omfanget af NIS2-berørte virksomheder og sektorer er udvidet betydeligt. Det kan derfor godt betale sig at være forberedt på NIS2-direktivet.

Hvem er omfattet af NIS2?

Ud over de organisationer, der allerede er omfattet af det oprindelige NIS-direktiv, vil flere nye sektorer også blive berørt:

  • Transport, infrastruktur og logistik
  • Fødevareproduktion såvel behandling som distribution
  • Spildevand og affaldshåndtering
  • Post & kurertjenester
  • Underleverandører til alle sektorer der i dag er underlagt NIS

Den fulde liste over virksomheder og organisationstyper findes her.

Det er forventningen, at der indføres en minimumsgrænse, der betyder, at “små” og “mikro”-virksomheder ikke bliver omfattet af NIS2. “Små” og “mikro”-betegnelsen dækker virksomheder med færre end 50 ansatte, eller med en årlig omsætning på under 10 millioner euro.

Samtidig er det er værd at bemærke, at det ikke udelukkende er private virksomheder, som er omfattet af NIS2-direktivet. Visse offentlige organisationer får også pligt til at efterleve de skærpede krav. Det drejer sig primært om offentlige institutioner inden for sundhed samt kritisk infrastruktur og forsyning. Det betyder, at centrale og regionale myndigheder er direkte omfattet af NIS2, men det er endnu ikke klart, om kommunerne også bliver omfattet.

Desuden bliver virksomheder, der er omfattet af NIS2, og som har mere end 250 medarbejdere forpligtet til også at adressere risici og svagheder i forsyningskæden inklusive risici introduceret af underleverandører.

Et andet perspektiv er, at NIS2 placerer ansvaret for overholdelse af cybersikkerheds- og risikostyringsforanstaltninger hos virksomhedsledelsen. Det betyder, at tiden, hvor håndtering af cyberrisici var IT-afdelingens ansvar, endegyldigt er forbi. Det er derfor også værd at overveje, om NIS2 giver anledning til ændringer i virksomhedens processer, roller og ansvar.

Konkrete NIS2-relaterede aktiviteter

Det forventes, at medlemsstaterne får 21 måneder fra den endelige vedtagelse til at implementere det nye direktiv. 21 måneder kan lyde af meget, men afhængig af, hvor forberedt man er på NIS2, er der en lang række konkrete, tidskrævende og omfangsrige aktiviteter, der bør igangsættes.

Det altoverskyggende tema i NIS2 er ”Risikobaseret tilgang til IT-sikkerhed”. Det afspejles i listen nedenfor med konkrete eksempler på sikkerhedsmæssige kapabiliteter, som bliver nødvendige:

  • Risikoanalyser, sikkerhedspolitikker og strategier – herunder dokumentation af samme
  • Disaster/recovery og Business continuity planer – kortlægning af eventuelle svagheder i den interne og eksterne data-infrastruktur
  • Sårbarhedshåndtering – scanninger, mitigering, afvigelseshåndtering og eskalation
  • Cybersecurity-test og auditering – herunder klare beredskabsplaner samt en strategi for hurtig genopretning
  • Effektiv kryptering
  • Multi-faktor autentificering
  • Sikker kommunikation – tale, video og på skrift
  • Sikre nødkommunikationssystemer
  • Incidenthåndtering og -rapportering
  • Håndtering af IT-sikkerhedsrisici fra 3. part i supply chain
  • Skærpede rapporteringskrav: Første myndighedsrapportering skal ske indenfor 24 timer, herunder en handleplan, som skal følges i forbindelse med underretning om væsentlige hændelser
  • Eksplicitering af ansvarsplacering på ledelsesniveau

Har du brug for hjælp til at omsætte de nye NIS2-krav til konkrete handlinger?

kaastrup|andersen bistår med at undersøge og afdække hvilke tiltag, der skal til for at komme i mål med overholdelse af NIS2.

Vi sørger for både projektledere samt sikkerhedskonsulenter, der hjælper jer i hele processen fra de initielle overvejelser om for eksempel indkøb af et system til overvågning af netværk, definition af en netværkssegmenteret arkitektur, udarbejdelse af værktøjer til risikovurderinger samt udarbejdelse af business continuity planer.

Læs mere om, hvordan vi arbejder med IT-sikkerhed – og hvad vi bidrager med.

Ring eller skriv til Tina Lykke Skafsgaard Hentze på 7027 7719 eller tlh@kaastrupandersen.dk for en uforpligtende snak om, hvordan vi sammen sikrer, at I bliver klar til NIS2-direktivet.

Vil du vide mere?

Tina Lykke Skafsgaard Hentze

Department Manager, Business Infrastructure & Security
+45 70 27 77 19
Kontakt mig