Kontakt

News

Hvad betyder det nye NIS2-direktiv for dig?

I 2016 blev NIS-direktivet etableret. NIS står for 'Netværks- og informationssikkerhed'. NIS-direktivet er udformet med det formål at styrke sikkerheden i kritisk infrastruktur som f.eks. bankers, energiselskabers og teleselskabers.

Den 16. januar 2023 trådte det reviderede direktiv (NIS2) i kraft. Med denne revision vil flere sektorer være omfattet af direktivet og skal derfor overholde flere sikkerhedskrav. Derudover vil overholdelsesovervågning og sanktioner også blive harmoniseret i hele EU.

Med større omfang og strengere krav bliver NIS2 nødt til bedre at beskytte EU mod cyberangreb og andre digitale sikkerhedstrusler.

EU's medlemslande har 21 måneder fra NIS2-direktivets ikrafttræden til at omsætte det i deres nationale lovgivning og etablere den nødvendige infrastruktur til at håndhæve det. Fra september 2024 træder NIS2-lovgivningen i kraft i Holland, og organisationer skal overholde. Det er derfor vigtigt for organisationer, der er omfattet af NIS2-direktivet, at forberede sig nu på de ændringer, direktivet vil medføre.

Nedenfor beskriver vi, hvilke organisationer der er omfattet af NIS2-direktivet, og hvad disse organisationer skal gøre for at overholde direktivet.

Hvilke organisationer er omfattet af NIS2-direktivet?
NIS2-direktivet gælder for meget kritiske og kritiske sektorer i EU. Dette omfatter virksomheder i finans-, energi- og transportsektoren, digitale tjenesteudbydere såsom cloud computing, online markedspladser, online søgemaskiner og sociale netværk.

Af de organisationer, der er omfattet af NIS2-direktivet, skelnes der mellem væsentlige og vigtige organisationer. Denne forskel fører til en anden udformning af NIS2. Forskellen er forklaret nedenfor.

Væsentlige enheder
Kun store organisationer1, der falder ind under meget kritiske sektorer, betragtes som "væsentlige". Derudover bliver nogle organisationer automatisk betragtet som "essentielle", uanset deres størrelse, hvis et sammenbrud i deres tjenester ville have alvorlige konsekvenser for samfundet, eller hvis de er den eneste udbyder på markedet.

Dette omfatter organisationer, der leverer offentlige kommunikationsnetværk og -tjenester, tillidstjenesteudbydere og udbydere af topdomænenavne og domænenavnsregistreringstjenester.

Vigtige organisationer
Ud over væsentlige organisationer henviser NIS2-direktivet også til vigtige organisationer. Mellemstore organisationer2, der opererer i meget kritiske sektorer, anses for vigtige sammen med store og mellemstore organisationer i kritiske sektorer.

De fleste af de organisationer, der er omfattet af NIS2-direktivet, ender i den vigtige kategori. I vigtige organisationer foregår overvågningen i efterhånden, når der er foretaget indberetninger og en hændelse. Skulle det efter en hændelse vise sig, at organisationen ikke har taget de nødvendige skridt med hensyn til sikkerhedskrav, vil disse organisationer også blive pålagt bøder for manglende overholdelse.

1 Store organisationer: mere end 250 ansatte og en årlig omsætning på mindst €50 mio.
2 mellemstore organisationer: færre end 250 ansatte og en årlig omsætning på op til €50 mio.

NIS2 - Væsentlige og vigtige enheder efter sektor

Hvad er konsekvenserne af NIS2-direktivet?
Organisationer, der er omfattet af NIS2-direktivet, skal overholde strenge sikkerhedskrav og rapportere hændelser til den nationale kompetente myndighed inden for 24 timer efter opdagelse. Derudover skal organisationer handle hurtigt for at håndtere situationen og afbøde virkningen i tilfælde af et cyberangreb eller anden sikkerhedshændelse. Manglende overholdelse kan medføre bøder og eventuel suspension på bestyrelsesniveau.

Hvad skal organisationer gøre for at overholde NIS2-direktivet?
Organisationer, der er omfattet af NIS2-direktivet, skal træffe de nødvendige foranstaltninger for at forbedre deres digitale sikkerhed og indberette hændelser til nationale myndigheder.

Foranstaltningerne nedenfor repræsenterer minimumskravene, der skal opfyldes:

  • Risikoanalyse og informationssystemsikkerhedspolitikker;
  • En hændelseshåndteringsproces;
  • Forretningskontinuitet, såsom backup-styring og beredskabsplaner og krisestyring;
  • Sikkerhed i forsyningskæden, herunder sikkerhedsrelaterede aspekter i forbindelse med forholdet mellem hver enhed og dens direkte leverandører eller tjenesteudbydere;
  • Sikkerhed i anskaffelse, udvikling og vedligeholdelse af netværk og informationssystemer, herunder sårbarhedsreaktion og offentliggørelse;
  • Politikker og procedurer til at vurdere effektiviteten af risikostyringsforanstaltninger for cybersikkerhed;
  • Grundlæggende cyberhygiejnepraksis og cybersikkerhedstræning (se NCSC grundlæggende foranstaltninger i infografikken nedenfor);
  • Politikker og procedurer for brug af kryptografi og, hvor det er relevant, kryptering;
  • Sikkerhedsaspekter vedrørende personale, adgangspolitik og asset management.

DataExpert
Hvis du har spørgsmål omkring NIS2 og den aktuelle status for ovenstående tiltag i din organisation, så kontakt os venligst. Vi hjælper dig gerne med at kortlægge den aktuelle implementering og etablere den nødvendige implementering af disse tiltag.

Denne hjemmeside bruger cookies

Vi mener, at det er meget vigtigt, at du ved, hvilke cookies der anvendes på vores hjemmeside og til hvilke formål. Vi bruger funktionelle cookies for at få vores hjemmeside til at fungere korrekt. Derudover bruger vi Analytics-cookies til at analysere brugen af vores hjemmeside. Vi beder også om dit samtykke til at placere cookies fra tredjeparter (sociale medier, reklame- og analysepartnere), som vi deler oplysninger med. Ved at klikke på "Accepter" accepterer du, at ovenstående cookies placeres. Hvis du klikker på "Indstillinger", vil du blive ført til en side, hvor du kan angive, hvilke cookies der må og ikke må placeres. Klik her for at se vores erklæring om beskyttelse af personlige oplysninger.