NIS2-compliance: Det skal du have på radaren
Cybersikkerhed og beskyttelse af personoplysninger går hånd i hånd. GDPR har været katalysator for beskyttelsen af personoplysninger, og NIS2-direktivet forventes at formalisere flere krav til cybersikkerhed.
NIS2 trådte i kraft i januar 2023. Det betyder, at Danmark og andre EU-lande har indtil den 18. oktober 2024 til at implementere direktivet i nationale love.
Vi kender derfor ikke de danske krav endnu, men den europæiske lovramme indeholder alligevel nogle pejlemærker. Der er f.eks. flere organisationer, som skal overholde NIS 2 sammenlignet med NIS-loven, og vi forventer blandt andet krav om at sikre:
- Politikker for risikoanalyse og informationssystemsikkerhed
- Håndtering af hændelser
- Driftskontinuitet og krisestyring
- Forsyningskædesikkerhed
- Sikkerhed ved erhvervelse, udvikling og vedligeholdelse af net- og informationssystemer
- Politikker og procedurer til vurdering af effektiviteten af foranstaltninger
- Grundlæggende praksisser for cyberhygiejne og cybersikkerhedsuddannelse
- Politikker og procedurer ved brug af kryptografi og kryptering
- Personalesikkerhed, adgangskontrolpolitikker og forvaltning af aktiver
- Multifaktor eller kontinuerlig autentificering, herunder leverandørstyring/-sikkerhed" ud for forsyningskædesikkerhed
Analyser peger på, at budgettet til cybersikkerhed gennemsnitligt skal udvides med 12-22% i løbet af 3-4 år for at overholde NIS2, men at det samlet set vil medføre store besparelser, fordi antallet og omfanget af it-hændelser nedbringes.
NIS2 indeholder en maksimal bøderamme på 10 mio. EUR eller 2% af den globale koncernomsætning, selvom den faktiske bødeudmåling kan afhænge af lokal domstolspraksis.
Skal vi holde dig i NIS2-loopet?
Tilmeld dig vores nyhedsbrev hér, og få alt den nyeste viden om NIS2.
