NIS2
NIS2 øger organisationens robusthed overfor cybertrusler
Formålet med EU’s NIS2 direktiv er at styrke og ensrette modstandsdygtigheden over for det stigende antal cybertrusler mod EU’s kritiske infrastruktur. Direktivet stiller derfor en række krav til virksomheder og myndigheder om at beskytte deres netværk og informationssystemer.
Implementeringen af NIS2-direktivet i Danmark er udskudt og træder efter planen i kraft den 1. marts 2025. Udskydelse eller ej, så anbefaler vi, at NIS2 fortsat har højeste prioritet i alle små og mellemstore virksomheder.
I RIT hjælper vi gerne med at sikre jeres tekniske set-up, læs mere nedenfor.
Cybersikkerhed er virksomhedens ‘license to operate’
Et EU-direktiv kan virke fjernt for danske små- og mellemstore virksomheder, men set i en dansk kontekst er der både konkurrence- og sikkerhedsmæssige fordele i at efterleve de nye regler. Desuden kender cyberkriminalitet ikke til landegrænser, og den øgede digitalisering medfører, at et cyberangreb mod én virksomhed eller én sektor ikke kan isoleres til de direkte berørte, fordi det sætter spor i hele forsyningskæden.
Så selv om man opererer i en branche, der i første omgang ikke er direkte omfattet, er det kun rettidig omhu at orientere sig om NIS2 kravene, så man er forberedt, når kravet rammer.
Hvem er direkte eller indirekte omfattet af NIS2?
Til forskel fra det første NIS direktiv, omfatter NIS2 direkte mange flere virksomheder og offentlige organisationer i kritiske og særlig kritiske sektorer. Disse sektorer bliver samtidig holdt ansvarlig for at sikre deres forsyningskæder og leverandørsystemer, hvormed også tusindvis af underleverandører bliver indirekte omfattet af NIS2 reglerne.
NIS2’s afsmittende effekt på andre sektorer medfører, at tusindvis af virksomheder bliver indirekte omfattet af det nye direktiv. Se oversigten til højre over direkte omfattede sektorer.
Direkte NIS2-omfattede sektorer
Sektorer af særlig kritisk betydning:
- Energi
- Transport
- Bankvirksomhed
- Finansielle markedsinfrastrukturer
- Sundhed
- Drikkevand
- Spildevand
- Digital Infrastruktur
- Forvaltere af IKT-tjenester
- Offentlig forvaltning
- Rummet
Sektorer af kritisk betydning:
- Post- og kurertjenester
- Affaldshåndtering
- Fremstilling, produktion og distribution af kemikalier
- Fødevareproduktion og -distribution
- Fremstilling af diverse maskiner og udstyr, herunder medicinsk udstyr og computere
- Digitale udbydere
- Forskningsorganisationer
Kilde: nis-2-directive.com
De væsentligste elementer i NIS2
NIS2 stiller krav til risikostyring af cybersikkerhedsrisici. Det betyder, at virksomheder skal træffe passende sikkerhedsforanstaltninger for at beskytte informationssystemer og netværk mod angreb og nedbrud. Minimumskravene for sikkerhedsforanstaltninger er beskrevet i direktivets artikel 21 og omfatter bl.a.:
- Politikker for risikoanalyse og informationssikkerhed
- Driftskontinuitet, herunder backup-styring og reetablering
- Håndtering af hændelser
- Krav til ledelsens tilsyn og kontrol med risikovurderinger
- Leverandørstyring og –sikkerhed
- Politikker og procedurer for kryptering
- Afrapportering og underretningspligt, fx skal mistanke om væsentlige brud på sikkerheden indrapporteres til myndighederne indenfor 24 timer
Med andre ord er det altafgørende, at organisationens øverste ledelse tager NIS2 alvorligt og sætter sig ind i kravene i direktivet og risikostyringsindsatsen.
NIS2 – og cybersikkerhed i det hele taget – er nemlig ikke noget, der bare lige fixes i IT-afdelingen. Det kræver ledelsesmæssig forankring og strategiske beslutninger, da det kan medføre personlige bøder, hvis virksomheden ikke efterlever kravene.
Det hjælper RIT med
Hos RIT har vi længe rådgivet kunder, som allerede var omfattet af det første NIS direktiv, herunder bl.a. kunder i forsyningssektoren. Uanset om I er direkte eller indirekte omfattet af NIS2, kan vi understøtte og hjælpe jer på flere parametre inden for det tekniske set-up, herunder:
- 360 graders IT-sikkerhedsanalyse
- Udarbejdelse af IT-politikker
- Backup der understøtter virksomhedens reelle behov
- Professionel IT-dokumentation
- Cybersecurity Framework, herunder håndtering af hændelser
D-mærket sikrer efterlevelse af NIS2 kravene
D-mærket er pt den eneste danske ordning, som sikrer, at en virksomhed lever op til minimumskravene i NIS2. D-mærket er samtidig en fremadrettet sikring for, at virksomheden fortsat lever op til den danske lovgivning af NIS2, når udmøntningen træder i kraft den 1. marts 2025.
I takt med at NIS2 implementeres i EU og i Danmark, vil D-mærket løbende orientere D-mærkede virksomheder og organisationer om behov for tilpasning eller justering. Samt tilbyde et særskilt NIS2-modul, som sikrer efterlevelse af minimumskravene i NIS2. Læs om processen for at blive D-mærket her.
Du kan også læse mere om RIT’s vej til D-mærket her.
Send formularen...
...vi vender tilbage hurtigt
Send formularen...
...vi vender tilbage hurtigt
Tilmeld nyhedsbrev
Når du tilmelder dig vores nyhedsbrev, modtager du nyheder fast hver anden måned. Derudover modtager du særskilte invitationer til vores faglige events.
Vores nyhedsbreve indeholder 3-4 korte nyheder om aktuelle og vigtige dagsordener inden for IT, herunder udviklingen indenfor tech og AI, vigtige sikkerhedstiltag, nye trends, regler og love samt andre relevante emner, som det er vigtigt at holde sig opdateret på.
Vi sender også invitationer til vores RIT Brain Booster seminarer, webinarer og andre events.
Indholdet er målrettet beslutningstagere indenfor IT og IT-sikkerhed, IT-professionelle, IT-brugere - og alle der bare gerne vil holde sig ajour med alt det spændende, der sker inden for den teknologiske udvikling.
Vi lover, at indholdet ikke er nørdet.