Hvad er NIS2-direktivets krav - og hvad betyder det for virksomheden?

Situationen i Ukraine har øget fokus på cybertruslen i Europa. Det har bl.a. derfor været en prioritet at få opdateret det eksisterende NIS-direktiv.

NIS-direktivet blev oprindeligt vedtaget i Europa-Parlamentet i 2018. Direktivet, der vedrører cybersikkerhed, var det første fælles tiltag i kampen mod cybertrusler i EU. Meningen med direktivet var at øge det overordnede cybersikkerhedsniveau i EU. Medlemslandene implementerede dog reglerne forskelligt, og derfor kommer der med NIS2-direktivet nu en opstramning. NIS2-direktivet skal sikre et højt fælles niveau for net- og informationssikkerhed i Europa.

Beierholm rådgivning og revision 53

Hvordan og hvornår skal de nye krav i NIS2 være implementeret i virksomheden?

NIS2-direktivet blev vedtaget og publiceret den 27. december 2022. Senest i oktober 2024 skal medlemslandene – inkl. Danmark – have vedtaget og offentliggjort de nødvendige foranstaltninger og regler for at leve op til NIS2-direktivet.

Hvilke krav stilles der i NIS2-direktivet?

Det nye direktiv skal som nævnt være med til at sikre forbedret cybersikkerhed i EU. Det skal medvirke til at spotte nye og nuværende problemstillinger samt finde frem til, hvor lovgivningen har sine styrker, samt hvor den giver udfordringer.

Specifikt opstiller NIS2-direktivet minimumskrav til:

  • Politikker for risikoanalyse og informationssystemsikkerhed
  • Håndtering af hændelser (forebyggelse, opdagelse og reaktion på hændelser)
  • Driftskontinuitet og krisestyring
  • Sikkerhed i forbindelse med erhvervelse, udvikling og vedligeholdelse af net- og informationssystemer, herunder håndtering og offentliggørelse af sårbarheder
  • Politikker og procedurer (test og revision) til vurdering af effektiviteten af foranstaltninger til styring af cybersikkerhedsrisici
  • Brug af kryptografi og kryptering
  • Cybersikkerhed i forsyningskæder, herunder cybersikkerhed mellem den enkelte enhed og dens leverandører eller tjenesteydere såsom leverandører af datalagrings- og databehandlingstjenester eller forvaltede sikkerhedstjenester.

Med NIS2-direktivet ønsker man desuden at: 

  • Styrke sikkerhedskravene
  • Håndtere cybersikkerheden i forsyningskæder
  • Strømline rapporteringsforpligtigelser samt at
  • Indføre strengere tilsynsforanstaltninger og håndhævelseskrav. 

Målet er, at hele EU trækker i samme retning.
 

Beierholm-NIS2-direktivet.jpg

Hvem er omfattet af NIS2?

Sektorer omfattet af NIS:

  • Sundhedsvæsen
  • Transport
  • Banking og finansmarked
  • Digital infrastruktur
  • Vandforsyning
  • Energi
  • Digitale serviceudbydere.

NIS2 udvider i væsentlig grad omfanget af organisationer. Omfanget af sektorer udvides, da Kommissionen ønsker at dække alle organisationer, der varetager vigtige funktioner i samfundet. Det betyder altså, at NIS2 også vil gælde for sektorer som fødevareproduktion, affaldshåndtering og hele forsyningskæden.

Sektorer omfattet af NIS2:

  • Udbydere af offentlige elektroniske kommunikationsnetværk
  • Fremstilling af nogle ”kritiske produkter” (som medicin, medicinsk udstyr og kemikalier)
  • Digitale tjenester som sociale medier og datacenter-services
  • Vandspilds- og affaldssorteringsservices
  • Fødevarer
  • Rummet
  • Post- og pakkeservices
  • Offentlig administration.

Hvem skal efterleve kravene i NIS2?

Direktivet lægger op til, at det er virksomheder med flere end 50 ansatte og en årlig omsætning på 10 mio. euro eller en årlig balance på 43 mio. euro, der skal efterleve kravene. I virksomhederne vil det være topledelsens ansvar at godkende sikkerhedsforanstaltninger og føre tilsyn med IT-sikkerheden.

Hvordan kan vi forberede os?

Vi vil anbefale, at du udnytter det compliancearbejde, du allerede har dokumenteret, f.eks. ifm. GDPR. Er du i tvivl om, hvorvidt jeres virksomhed er omfattet af de kommende krav, hjælper vi gerne med en vurdering.