Hvad er NIS2-direktivet - og hvad betyder det for virksomheden?
Situationen i Ukraine har øget fokus på cybertruslen i Europa. Det har bl.a. derfor været en prioritet at få opdateret det eksisterende NIS-direktiv. Den 13. maj 2022 blev Europa-Parlamentet og Rådet enige om en foreløbig politisk aftale, der skal sørge for, at lovgivningen følger med den digitale udvikling.
NIS-direktivet blev oprindeligt vedtaget i Europa-Parlamentet i 2018. Direktivet, der vedrører cybersikkerhed, var det første fælles tiltag i kampen mod cybertrusler i EU. Meningen med direktivet var at øge det overordnede cybersikkerhedsniveau i EU. Medlemslandene implementerede dog reglerne forskelligt, og derfor kommer der med NIS2-direktivet nu en opstramning. NIS2-direktivet skal sikre et højt fælles niveau for net- og informationssikkerhed i Europa.
Hvordan og hvornår skal de nye krav være implementeret i virksomheden?
Det er op til de enkelte medlemslande, hvordan de bedst muligt implementerer forslaget i national lovgivning.
Medlemslandene har 21 måneder til at implementere det i national lov fra direktivets offentliggørelse. Der er en forventning om, at den endelige lovtekst bliver vedtaget i efteråret 2022. Virksomhederne skal derfor forberede sig på at være klar til de nye krav i midten af 2024.
Hvilke krav stilles der?
Det nye direktiv skal som nævnt være med til at sikre forbedret cybersikkerhed i EU. Det skal medvirke til at spotte nye og nuværende problemstillinger samt finde frem til, hvor lovgivningen har sine styrker, samt hvor den giver udfordringer.
Specifikt opstiller NIS2-direktivet minimumskrav til:
- Politikker for risikoanalyse og informationssystemsikkerhed
- Håndtering af hændelser (forebyggelse, opdagelse og reaktion på hændelser)
- Driftskontinuitet og krisestyring
- Sikkerhed i forbindelse med erhvervelse, udvikling og vedligeholdelse af net- og informationssystemer, herunder håndtering og offentliggørelse af sårbarheder
- Politikker og procedurer (test og revision) til vurdering af effektiviteten af foranstaltninger til styring af cybersikkerhedsrisici
- Brug af kryptografi og kryptering
- Cybersikkerhed i forsyningskæder, herunder cybersikkerhed mellem den enkelte enhed og dens leverandører eller tjenesteydere såsom leverandører af datalagrings- og databehandlingstjenester eller forvaltede sikkerhedstjenester.
Med NIS2-direktivet ønsker man desuden at:
- Styrke sikkerhedskravene
- Håndtere cybersikkerheden i forsyningskæder
- Strømline rapporteringsforpligtigelser samt at
- Indføre strengere tilsynsforanstaltninger og håndhævelseskrav.
Målet er, at hele EU trækker i samme retning.
Hvilke sektorer er omfattet af direktivet?
Sektorer omfattet af NIS:
- Sundhedsvæsen
- Transport
- Banking og finansmarked
- Digital infrastruktur
- Vandforsyning
- Energi
- Digitale serviceudbydere.
NIS2 udvider i væsentlig grad omfanget af organisationer. Omfanget af sektorer udvides, da Kommissionen ønsker at dække alle organisationer, der varetager vigtige funktioner i samfundet. Det betyder altså, at NIS2 også vil gælde for sektorer som fødevareproduktion, affaldshåndtering og hele forsyningskæden.
Sektorer omfattet af NIS2:
- Udbydere af offentlige elektroniske kommunikationsnetværk
- Fremstilling af nogle ”kritiske produkter” (som medicin, medicinsk udstyr og kemikalier)
- Digitale tjenester som sociale medier og datacenter-services
- Vandspilds- og affaldssorteringsservices
- Fødevarer
- Rummet
- Post- og pakkeservices
- Offentlig administration.
Hvem skal efterleve kravene?
Direktivet lægger op til, at det er virksomheder med flere end 50 ansatte og en årlig omsætning på 10 mio. euro eller en årlig balance på 43 mio. euro, der skal efterleve kravene. I virksomhederne vil det være topledelsens ansvar at godkende sikkerhedsforanstaltninger og føre tilsyn med IT-sikkerheden.
Hvordan kan vi forberede os?
Vi vil anbefale, at du udnytter det compliancearbejde, du allerede har dokumenteret, f.eks. ifm. GDPR. Er du i tvivl om, hvorvidt jeres virksomhed er omfattet af de kommende krav, hjælper vi gerne med en vurdering.