Phishing-angreb. Ransomware. Brud på datasikkerheden. Spoofing. Menneskelige fejl, der fører til eksponering.
NIS2-direktivet er et resultat af – og en nødvendighed for – det nye cybertrussels-landskab, vi ser.
Men hvad handler NIS2-direktivet egentlig om? Og hvordan forbereder du dig på det – i tide?
Vi giver dig svarene her.
Hvad er NIS2-direktivet?
NIS er en forkortelse for Network and Information Security.
Det er et EU-direktiv, der definerer et sæt regler, som har til formål at styrke det overordnede niveau af cybersikkerhed i EU – især for at beskytte kritisk infrastruktur – samt at sikre ens regler på området.
Det første NIS-direktiv så dagens lys i 2016. Det markerede en vigtig milepæl som den første EU-dækkende lovgivning dedikeret til cybersikkerhed.
Flere år senere har det digitale landskab set en stor stigning i trusler. Hovedsageligt på grund af den hurtige digitalisering og en bemærkelsesværdig stigning i cyberangreb.
Dét trusselsbillede førte til udviklingen og færdiggørelsen af NIS2-direktivet i 2022.
Så som en efterfølger til det oprindelige NIS-direktiv søger NIS2 at minimere disse nye udfordringer ved at udvide dets anvendelsesområde til at dække flere sektorer.
Det betyder, at i et EU-land som Danmark var det kun 130 virksomheder, der var dækket af NIS1. På grund af det udvidede anvendelsesområde i NIS2 er over 1.400 virksomheder dækket af det nye direktiv.
Derudover indfører NIS2-direktivet strengere krav til compliance og forbedrede sikkerhedsprotokoller. Dette skal sikre en mere modstandsdygtig og sikker digital infrastruktur i hele EU.
Alle medlemslande i EU skal omsætte NIS2-direktivet til national lovgivning fra den 18. oktober 2024.
Det betyder også, at vi alle må væbne os med tålmodighed og vente på en fuldstændig og endelig afklaring af, hvad hver national lov vil kræve af enhederne. Fx om der vil være forskellige krav til sektorerne, om det vil påvirke kommunerne og så videre.
Men vi kender de minimumskrav, der følger med NIS2-direktivet. Vi anbefaler, at du starter hér så hurtigt som muligt for at være så forberedt som muligt – og så du ikke står i en situation, hvor du skal starte helt fra bunden lige inden deadline.
#1: Krav til tilstrækkelig sikkerhed
Du skal overholde disse 10 minimumskrav for at sikre tilstrækkelig sikkerhed:
- Politikker for risikoanalyse og sikkerhed i informationssystemer
- En plan for håndtering af hændelser
- Forretningskontinuitet, såsom backup management og disaster recovery, og krisehåndtering
- Sikkerhed i forsyningskæden, herunder sikkerhedsrelaterede aspekter vedrørende forholdet mellem hver enhed og dens direkte leverandører eller tjenesteudbydere.
- Sikkerhed i forbindelse med anskaffelse, udvikling og vedligeholdelse af netværk og informationssystemer, herunder håndtering og offentliggørelse af sårbarheder.
- Politikker og procedurer til vurdering af effektiviteten af risikostyringsforanstaltninger for cybersikkerhed
- Grundlæggende cyber-hygiejne og cybersikkerhedstræning
- Politikker og procedurer vedrørende brug af kryptografi og, hvor det er relevant, kryptering
- Human resources-sikkerhed, adgangskontrolpolitikker og forvaltning af aktiver
- Brug af multifaktorautentificering eller løbende autentificeringsløsninger sikret stemme-, video- og tekstkommunikation og sikrede nødkommunikationssystemer i enheden, hvor det er relevant.
#2: Awareness og træning af ledelse, bestyrelsesmedlemmer og nøglemedarbejdere
For at være compliant med NIS2-direktivet skal din ledelse følge træning, og du bør også løbende tilbyde træning til dine medarbejdere.
Det er for at sikre, at de får den viden og de færdigheder, de behøver, først og fremmest for kunne at identificere risici. Dernæst for at sikre, at de kan vurdere risikostyringspraksisser inden for cybersikkerhed og deres indvirkning på de tjenester, som din virksomhed tilbyder.
#3: Rapportering af hændelser til myndighederne
NIS2 har en multi-step-tilgang til anmeldelse af hændelser. Det er for at finde balancen mellem hurtig rapportering for at forhindre spredning af hændelser og dybdegående rapportering for at lære værdifulde erfaringer.
Enheder, dækket af NIS2, har:
- 24 timer til at indsende en tidlig advarsel
- 72 timer til at indsende en hændelsesmeddelelse
- En måned til at indsende en endelig rapport.
Tid til at runde af
Da EU’s ‘compliance-countdown’ er begyndt, er der hverken grund eller tid til at starte fra bunden.
Vi anbefaler derfor, at du starter med minimumskravene nu.
Hvis du gerne vil gå mere i dybden med NIS2, og hvordan du forbereder dig på kravene i tide, er du mere end velkommen til at downloade vores NIS-guide her.