Er du omfattet af NIS2?
For at sikre det bedst mulige forsvar kræver det, at vi hvert år vurderer vores indsats i forhold til det aktuelle trusselsbillede, aktørernes egne risikovurderinger og den samlede indsats i Europa.
Cybersikkerhed er et samfundskritisk område, og derfor har Europa-Parlamentet vedtaget det nye Net- og Informationssikkerhedsdirektiv – også kendt som NIS2-direktivet.
Dette direktiv skærper kravene til, hvordan sektorer i hele EU skal håndtere deres cyber- og informationssikkerhed.
Selvom NIS2 træder i kraft i Europa den 17. oktober, vil vi i Danmark først se det indarbejdet i lovgivningen fra den 1. juli 2025 – lidt mindre end ni måneder efter EU’s officielle tidsfrist.
Det gælder for en bred række sektorer: energi, transport, sundhed, digital infrastruktur, forsyning, telekommunikation, offentlig forvaltning, uddannelsesinstitutioner og finans m.fl.
Det vil påvirke mellem 1.100-1.400 danske virksomheder, organisationer og myndigheder, så lad os kigge nærmere på, hvad dette betyder for at styrke vores fælles cyberforsvar!
Hvad er et 'direktiv'?
Et direktiv er en retsakt, der fastlægger et mål, som EU-lande skal opnå, men det overlades til de enkelte lande at udarbejde deres egne love for at nå dette mål.
Magter du ikke læse videre om hvad NIS2 er, så tag fat i os med det samme!
Lovforslaget fra Europa-Parlamentet
Et nyt lovforslag fra Forsvarsministeriet er blevet sendt til høring den 5. juli 2024.
Det har til formål at styrke beskyttelsen af Danmarks net- og informationssystemer mod cyberangreb og andre sikkerhedstrusler.
Som nævnt er NIS2 et EU-direktiv, der skal løfte cybersikkerheden på tværs af medlemslandene ved at indføre strengere krav til, hvordan vi beskytter vores netværk og informationer.
Lovforslaget skal implementere NIS2 i dansk lovgivning og sikre en ensartet og høj standard for cybersikkerhed, med fokus på at beskytte Danmarks digitale infrastruktur.
Som virksomhed vil det betyde, at du skal sikre dine systemer, rapportere hændelser og samarbejde med myndighederne for at skabe et sikrere cyberspace.
De nye krav vil derfor stille dig over for en række forberedelser, så du kan leve op til standarderne og beskytte både din drift og følsomme data mod cybertrusler.
NIS2-direktivet udvider ikke bare kravene, men også sanktionerne inden for cybersikkerhed for at sikre et ensartet sikkerhedsniveauet på tværs af EU-landene.
Det betyder, at alle berørte sektorer skal implementere effektive risikostyringssystemer, beskytte deres digitale infrastruktur og overholde de nye regler for at forhindre og reagere på cybertrusler.
At overholde NIS2 er ikke kun et lovkrav, men også en nødvendighed for at sikre din virksomheds drift og beskytte følsomme data.
Vi har samlet de berørte sektorer længere nede i artiklen.
Baggrund for NIS2 - fra 2016 til 2024
Hvem gælder loven for og hvorfor de nye regler?
Loven gælder for virksomheder og organisationer, der varetager vigtige funktioner i samfundet, samt de offentlige myndigheder, herunder centraladministration, regioner og kommuner.
Vi har brug for et stærkere cyberforsvar og en mere robust digital infrastruktur, især i takt med, at det digitale landskab virker til at være allestedsværende.
NIS2 er en opdatering af det oprindelige NIS-direktiv fra 2016, som blev udviklet som reaktion på den stigende trussel mod Europas informationssystemer og netværk. Formålet med det oprindelige direktiv var at løfte cybersikkerheden i flere kritiske sektorer på tværs af EU – altså sektorer, der spiller en afgørende rolle for samfundets funktion.
Det første NIS-direktiv bestod af tre centrale elementer:
- Øget sikkerhed: I Danmark betød det blandt andet, at de omfattede virksomheder skulle certificeres efter internationale standarder som ISO27001 for at styrke sikkerheden i deres net- og informationssystemer.
- Samarbejde på tværs af lande: EU-landene skulle dele viden om cybertrusler og samarbejde tættere om cybersikkerhed.
- Nationalt tilsyn: Myndighederne i hvert land skulle føre tilsyn med cybersikkerheden for kritiske virksomheder.
Hvis du ikke er underlagt NIS2, men gerne vil have øget din sikkerhed - kontakt os
Kender du forskellen på digitale angreb?
- Phishing – Svindel via e-mails for at stjæle data.
- Malware – Skadelig software, der inficerer systemer.
- Ransomware – Krypterer filer og kræver løsepenge.
- Man-in-the-Middle – Hacker opsnapper kommunikation.
- DDoS-angreb – Overbelastning af servere for at lamme dem.
- Smishing – Phishing via SMS-beskeder.
Tid til at udvide linsen: Flere berørte sektorer
Med NIS2 følger der en række nye krav, der udvider omfanget af det oprindelige direktiv.
Flere sektorer er nu kategoriseret som samfundskritisk infrastruktur, herunder fødevareproduktion og affaldshåndtering. Det betyder, at mange flere virksomheder nu er omfattet af de skærpede regler for cybersikkerhed.
I en mere digitaliseret verden kan et enkelt cyberangreb på en virksomhed påvirke hele strukturen, hvilket kan få store konsekvenser på tværs af sektorer og landegrænser.
Hvem er omfattet af NIS2?
Anvendelsesområdet for NIS2 er blevet udvidet markant.
Hvis din virksomhed opererer inden for en af følgende sektorer, kan du være omfattet af de nye regler:
- Energi: El- og gasleverandører samt energiproducenter (f.eks. vindmølleparker, solenergi)
- Transport: Flyselskaber, jernbaneoperatører samt havne- og transportinfrastruktur
- Sundhedssektoren: Hospitaler, klinikker, medicinalvirksomheder og leverandører af medicinsk udstyr
- Digital infrastruktur: Internetudbydere, Cloud-tjenester og datacentre
- Finanssektoren: Banker, forsikringsselskaber og investeringsfirmaer
- Forsyningssektoren: Vandforsyning og affaldshåndtering
- Telekommunikation: Mobil- og fastnettelefonudbydere
- Offentlige institutioner: Stat, kommune og offentlige forvaltninger
- Uddannelsesinstitutioner: Universiteter og forskningsinstitutioner
Lad os lave et NIS2 sikkerhedstjek
Hvilken betydning får NIS2, og hvilke krav stilles til din virksomhed?
NIS2-direktivet medfører også nye krav til governance i virksomheder, herunder ledelsens ansvar, risikostyring og rapportering.
Her er de centrale punkter:
Ledelsesansvar
Din virksomheds ledelse skal være bekendt med NIS2-kravene og bære ansvaret for at sikre, at cyberrisici identificeres, håndteres, og at de nødvendige sikkerhedsforanstaltninger er på plads.
Dette kræver en aktiv ledelsesrolle i opbygningen og vedligeholdelsen af virksomhedens cybersikkerhedspolitikker.
Risikostyring
Virksomheder skal implementere skadesforebyggende og -begrænsende tiltag for at reducere risici og konsekvenser af cyberhændelser.
Nogle af de vigtigste områder omfatter:
- Incident management: Etablering af processer til håndtering af sikkerhedshændelser.
- Forsyningskædesikkerhed: Vurdering og sikring af leverandørernes cybersikkerhed.
- Netværkssikkerhed: Beskyttelse mod uautoriseret adgang.
- Adgangskontrol og kryptering: Sikring af følsomme oplysninger og databeskyttelse.
Forretningskontinuitet
Forberedelse på større cyberhændelser er afgørende.
Din virksomhed skal have planer for Hurtig genopretning af IT-systemer og nødprocedurer og krisehåndtering, der sikrer, at virksomheden kan reagere hurtigt og informere myndighederne i tide.
Indberetningspligt
Ved væsentlige hændelser skal din virksomhed underrette myndighederne inden for 24 timer og afgive en detaljeret rapport inden for 72 timer. En hændelse anses som væsentlig, hvis den kan medføre alvorlige driftsforstyrrelser eller økonomiske tab.
Samfundskritisk modstandsdygtighed
NIS2-direktivet pålægger europæiske virksomheder og myndigheder at tilpasse deres drift til den digitale tidsalders stigende cybertrusler. Fokus skal ligge på at beskytte kritiske digitale og tekniske systemer, der understøtter driften, herunder:
- Netværks- og digital infrastruktur (IT, OT, tekniske enheder).
- Applikationslaget, der kan være sårbart over for cybertrusler.
- Maskiner, robotter og styreenheder, der er afgørende for driften.
Samlet set sigter NIS2 mod at sikre en højere grad af beskyttelse mod cybertrusler og styrke modstandsdygtigheden i både virksomheder og samfundsinstitutioner.
Er din organisation omfattet af NIS2, skal I pr. 1. juli 2025 være i stand til at dokumentere jeres efterlevelse af direktivets krav.
NIS2-direktivet fastlægger rammerne for, hvordan både virksomheder og myndigheder skal sikre cyber- og informationssikkerheden.
Direktivet bliver gjort til bindende lov gennem nationale bekendtgørelser, hvilket betyder, at jeres organisation skal overholde kravene i den danske bekendtgørelse, som forventes at træde i kraft den 1. juli 2025.
Du er velkommen til at kontake os, for at høre uddybende hvad det betyder for netop dig: