Velkommen til cybersikkerhedsmåned 2024 - og NIS2?

17. oktober 2024
Emner: IT-revision og -sikkerhedsrådgivning

Vi kan fejre cybersikkerhedsmåneden, men vi kan ikke helt fejre startskuddet på NIS2, der ellers skulle være trådt i kraft 17. oktober. Opstarten hedder nu 1. juli 2025 (i skrivende stund), men derfor er cybersikkerhedsmåneden nu alligevel en god anledning til at fokusere på den øgede sikkerhed, som NIS2 skal understøtte.

Hvad er NIS2?

I takt med den stigende digitalisering og afhængighed af teknologiske infrastrukturer, bliver cybersikkerhed en tiltagende kritisk faktor. Cyberangreb er ikke afgrænset til økonomiske forbrydelser mod virksomheder, men bruges i stigende grad mod sektorer som energi, sundhed og finans. For at styrke EU’s cybersikkerhed blev NIS-direktivet (Network and Information Systems) introduceret i 2016, og opdateres nu med NIS2-direktivet, der skærper kravene til sikkerhed på tværs af flere sektorer.

Beierholm_IT-sikkerhed-persondata.jpg

Hvem berører NIS2?

NIS2-direktivet skærper kravene til sikkerhed på tværs af flere sektorer. Kravene skal efterleves af direkte aktører i de berørte sektorer, men kan også sive videre som krav til aktørernes leverandører.

Følgende er eksempler på sektorer omfattet af NIS2-direktivet:

  • Fødevarer
  • Offentlig administration
  • Post- og pakkeservice
  • Vandspilds- og affaldsservices
  • Rummet, f.eks. udvikling, produktion og drift af satellitter
  • Udbydere af offentlige elektroniske kommunikationsnet
  • Elektroniske kommunikationstjenester som sociale medier og datacenter-services
  • Fremstilling af nogle ”kritiske produkter” (som medicin, medicinsk udstyr og kemikalier)

Direktivet lægger op til, at det er virksomheder med flere end 50 ansatte og en årlig omsætning på 10 mio. euro eller en årlig balance på 43 mio. euro, der skal efterleve kravene. I virksomhederne vil det være topledelsens ansvar at godkende sikkerhedsforanstaltninger og føre tilsyn med IT-sikkerheden.

Beierholm-NIS2-direktivet.jpg

Hvorfor er NIS2 vigtig?

Direktivet udvider dækningsområdet for kritisk infrastruktur og essentielle tjenester. Samtidig stilles der skærpede krav til rapportering af hændelser og det faktiske samarbejde mellem medlemsstaterne. De fleste organisationer er i stigende grad afhængige af digitale systemer, hvilket gør dem mere sårbare over for cyberangreb. Konsekvenserne af en sikkerhedshændelse kan være enorme – lige fra økonomiske tab til nedsat offentlig tillid for den enkelte virksomhed, og i værste fald kan det påvirke borgernes liv, sundhed og sikkerhed. Dertil kommer, at virksomheden og ledelsen kan blive ramt af økonomiske sanktioner, hvis man har undladt at agere i forhold til efterlevelsen af NIS2.

I lyset af de skærpede krav skal virksomheder og offentlige institutioner gennemgå og vurdere deres nuværende it-sikkerhed. Dette medfører en gylden mulighed for at styrke organisationens modstandsdygtighed over for cyberangreb og andre digitale risici.

Nogle af de konkrete tiltag, man skal have implementeret/styrket, er:

  • Risikovurdering og sikkerhedsforanstaltninger: Organisationer skal regelmæssigt vurdere deres sikkerhedsrisici og implementere passende foranstaltninger for at minimere dem.
     
  • Hændelsesrapportering: Ved cybersikkerhedshændelser skal man være organisatorisk gearet til hurtig rapportering til relevante myndigheder inden for stramme tidsfrister.
     
  • Ledelsesansvar: Ledelsen har ansvar for at sikre, at organisationen overholder direktivets krav. Dette betyder, at manglende overholdelse kan føre til juridiske konsekvenser for ledelsen.

Beierholm assisterer gerne med afklaring

Cybersikkerhed er ikke længere kun en teknisk udfordring - det er en strategisk tilgang, som skal forankres i ledelsen og implementeres organisatorisk. Det kan være en næsten uoverskuelig opgave at forholde sig til endnu et direktiv og lovkrav, når man egentlig bare gerne vil yde den kerneopgave, man nu engang har bygget en forretning op omkring. Derfor kan du med fordel kontakte Beierholms it-rådgivning, så vi kan tage en snak om din forretning, og om NIS2 kan blive relevant for dig i 2025 – og hvordan du bliver klar.