Hvad er NIS2-direktivets krav - og hvad betyder det for virksomheden?

Situationen i Ukraine har øget fokus på cybertruslen i Europa. Det har bl.a. derfor været en prioritet at få opdateret det eksisterende NIS-direktiv.

NIS-direktivet blev oprindeligt vedtaget i Europa-Parlamentet i 2018. Direktivet, der vedrører cybersikkerhed, var det første fælles tiltag i kampen mod cybertrusler i EU. Meningen med direktivet var at øge det overordnede cybersikkerhedsniveau i EU. Medlemslandene implementerede dog reglerne forskelligt i de omfattede sektorer, og derfor kommer der med NIS2-direktivet nu en opstramning. NIS2-direktivet skal sikre et højt fælles niveau for net- og informationssikkerhed i Europa.

Beierholm rådgivning og revision 53

Hvordan og hvornår skal de nye krav i NIS2 være implementeret i virksomheden?

NIS2-direktivet blev vedtaget og publiceret den 27. december 2022. Senest i oktober 2024 skal medlemslandene – inkl. Danmark – have vedtaget og offentliggjort de nødvendige foranstaltninger og regler for, at sektorer af særlig kritisk betydning samt andre kritiske sektorer kan at leve op til NIS2-direktivet. Ifølge Center for Cybersikkerhed er arbejdet med at implementere NIS2-direktivet dog forsinket, og det betyder, “(...) at Danmark kommer til at overskride den implementeringsfrist, der i direktiverne er fastsat til den 17. oktober 2024”. Implementeringsfristen hedder nu d. 1. juli 2025.

Hvilke krav stilles der i NIS2-direktivet?

Det nye direktiv skal som nævnt være med til at sikre forbedret cybersikkerhed i EU for såvel private virksomheder som offentlige myndigheder. Det skal medvirke til at spotte nye og nuværende problemstillinger samt finde frem til, hvor lovgivningen har sine styrker, samt hvor den giver udfordringer.

Specifikt opstiller NIS2-direktivet minimumskrav til:

  • Politikker for risikoanalyse og informationssystemsikkerhed
  • Håndtering af hændelser (forebyggelse, opdagelse og reaktion på hændelser)
  • Driftskontinuitet og krisestyring
  • Sikkerhed i forbindelse med erhvervelse, udvikling og vedligeholdelse af net- og informationssystemer, herunder håndtering og offentliggørelse af sårbarheder
  • Politikker og procedurer (test og revision) til vurdering af effektiviteten af foranstaltninger til styring af cybersikkerhedsrisici
  • Brug af kryptografi og kryptering
  • Cybersikkerhed i forsyningskæder, herunder cybersikkerhed mellem den enkelte enhed og dens leverandører eller tjenesteydere såsom leverandører af datalagrings- og databehandlingstjenester eller forvaltede sikkerhedstjenester.

Med NIS2-direktivet ønsker man desuden at: 

  • Styrke sikkerhedskravene
  • Håndtere cybersikkerheden i forsyningskæder
  • Strømline rapporteringsforpligtigelser
  • Indføre strengere tilsynsforanstaltninger og håndhævelseskrav. 

Målet er, at hele EU trækker i samme retning.
 

Beierholm-NIS2-direktivet.jpg

Hvem er omfattet af NIS2?

Sektorer omfattet af det oprindelige NIS-direktiv:

  • Energi
  • Transport
  • Vandforsyning
  • Sundhedsvæsen
  • Digital infrastruktur
  • Digitale serviceudbydere
  • Banking og finansmarked

NIS2-direktivet udvider i væsentlig grad omfanget af organisationer. Flere sektorer indbefattes, da Kommissionen ønsker at dække alle organisationer, der varetager vigtige funktioner i samfundet. Det betyder altså, at NIS2-direktivet også vil gælde for sektorer som fødevareproduktion, affaldshåndtering og hele forsyningskæden.

Følgende sektorer er omfattet af NIS2-direktivet:

  • Fødevarer
  • Offentlig administration
  • Post- og pakkeservice
  • Vandspilds- og affaldsservices
  • Rummet, f.eks. udvikling, produktion og drift af satellitter
  • Udbydere af offentlige elektroniske kommunikationsnet
  • Elektroniske kommunikationstjenester som sociale medier og datacenter-services
  • Fremstilling af nogle ”kritiske produkter” (som medicin, medicinsk udstyr og kemikalier)

Hvem skal efterleve kravene i NIS2?

Direktivet lægger op til, at det er virksomheder med flere end 50 ansatte og en årlig omsætning på 10 mio. euro eller en årlig balance på 43 mio. euro, der skal efterleve kravene. I virksomhederne vil det være topledelsens ansvar at godkende sikkerhedsforanstaltninger og føre tilsyn med IT-sikkerheden.

Hvordan kan vi forberede os?

Vi vil anbefale, at du forbereder din virksomhed på NIS2-direktivet ved bl.a. at udarbejde risikovurderinger af jeres kritiske aktiver og processer, og indhente erklæringer fra jeres leverandører. Er du i tvivl om, hvorvidt jeres virksomhed er omfattet af de kommende krav, hjælper vi gerne med en vurdering.