NIS2

NIS2 øger organisationens robusthed overfor cybertrusler 

Formålet med EU’s NIS2 direktiv er at styrke og ensrette modstandsdygtigheden over for det stigende antal cybertrusler mod EU’s kritiske infrastruktur. Direktivet stiller derfor en række krav til virksomheder og myndigheder om at beskytte deres netværk og informationssystemer.

NIS2 direktivet træder efter planen i kraft i Danmark den 1. januar 2025, og selv om januar 2025 kan synes som langt ude i fremtiden, anbefalinger vi, at NIS2 har højeste prioritet i alle små og mellemstore virksomheder. 

I RIT hjælper vi gerne med at sikre jeres tekniske set-up, læs mere nedenfor. 

Cybersikkerhed er virksomhedens ‘license to operate’

Et EU-direktiv kan virke fjernt for danske små- og mellemstore virksomheder, men set i en dansk kontekst er der både konkurrence- og sikkerhedsmæssige fordele i at efterleve de nye regler. Desuden kender cyberkriminalitet ikke til landegrænser, og den øgede digitalisering medfører, at et cyberangreb mod én virksomhed eller én sektor ikke kan isoleres til de direkte berørte, fordi det sætter spor i hele forsyningskæden.  

Så selv om man opererer i en branche, der i første omgang ikke er direkte omfattet, er det kun rettidig omhu at orientere sig om NIS2 kravene, så man er forberedt, når kravet rammer. 

Hvem er direkte eller indirekte omfattet af NIS2? 

Til forskel fra det første NIS direktiv, omfatter NIS2 direkte mange flere virksomheder og offentlige organisationer i kritiske og særlig kritiske sektorer. Disse sektorer bliver samtidig holdt ansvarlig for at sikre deres forsyningskæder og leverandørsystemer, hvormed også tusindvis af underleverandører bliver indirekte omfattet af NIS2 reglerne.  

NIS2’s afsmittende effekt på andre sektorer medfører, at tusindvis af virksomheder bliver indirekte omfattet af det nye direktiv. Se oversigten til højre over direkte omfattede sektorer.

Direkte NIS2-omfattede sektorer

 
Sektorer af særlig kritisk betydning: 
  • Energi 
  • Transport 
  • Bankvirksomhed 
  • Finansielle markedsinfrastrukturer 
  • Sundhed 
  • Drikkevand 
  • Spildevand 
  • Digital Infrastruktur 
  • Forvaltere af IKT-tjenester 
  • Offentlig forvaltning  
  • Rummet  
Sektorer af kritisk betydning: 
  • Post- og kurertjenester 
  • Affaldshåndtering 
  • Fremstilling, produktion og distribution af kemikalier 
  • Fødevareproduktion og -distribution 
  • Fremstilling af diverse maskiner og udstyr, herunder medicinsk udstyr og computere 
  • Digitale udbydere 
  • Forskningsorganisationer 

Kilde: nis-2-directive.com 

De væsentligste elementer i NIS2

NIS2 stiller krav til risikostyring af cybersikkerhedsrisici. Det betyder, at virksomheder skal træffe passende sikkerhedsforanstaltninger for at beskytte informationssystemer og netværk mod angreb og nedbrud. Minimumskravene for sikkerhedsforanstaltninger er beskrevet i direktivets artikel 21 og omfatter bl.a.:

  • Politikker for risikoanalyse og informationssikkerhed 
  • Driftskontinuitet, herunder backup-styring og reetablering 
  • Håndtering af hændelser  
  • Krav til ledelsens tilsyn og kontrol med risikovurderinger 
  • Leverandørstyring og –sikkerhed 
  • Politikker og procedurer for kryptering 
  • Afrapportering og underretningspligt, fx skal mistanke om væsentlige brud på sikkerheden indrapporteres til myndighederne indenfor 24 timer 

Med andre ord er det altafgørende, at organisationens øverste ledelse tager NIS2 alvorligt og sætter sig ind i kravene i direktivet og risikostyringsindsatsen.

NIS2 – og cybersikkerhed i det hele taget – er nemlig ikke noget, der bare lige fixes i IT-afdelingen. Det kræver ledelsesmæssig forankring og strategiske beslutninger, da det kan medføre personlige bøder, hvis virksomheden ikke efterlever kravene. 

Det hjælper RIT med

Hos RIT har vi længe rådgivet kunder, som allerede var omfattet af det første NIS direktiv, herunder bl.a. kunder i forsyningssektoren. Uanset om I er direkte eller indirekte omfattet af NIS2, kan vi understøtte og hjælpe jer på flere parametre inden for det tekniske set-up, herunder:  

  • 360 graders IT-sikkerhedsanalyse 
  • Udarbejdelse af IT-politikker 
  • Backup der understøtter virksomhedens reelle behov 
  • Professionel IT-dokumentation  
  • Cybersecurity Framework, herunder håndtering af hændelser  

    D-mærket sikrer efterlevelse af NIS2 kravene 

    D-mærket er pt den eneste danske ordning, som sikrer, at en virksomhed lever op til minimumskravene i NIS2. D-mærket er samtidig en fremadrettet sikring for, at virksomheden fortsat lever op til den danske lovgivning af NIS2, når udmøntningen træder i kraft den 1. januar 2025.  

    I takt med at NIS2 implementeres i EU og i Danmark, vil D-mærket løbende orientere D-mærkede virksomheder og organisationer om behov for tilpasning eller justering. Samt tilbyde et særskilt NIS2-modul, som sikrer efterlevelse af minimumskravene i NIS2. Læs om processen for at blive D-mærket her.

    Du kan også læse mere om RIT’s vej til D-mærket her. 

    Send formularen...

    ...vi vender tilbage hurtigt

    Send formularen...

    ...vi vender tilbage hurtigt

      * = Obligatorisk felt

        Vi sender vores folder om IT-sikkerhed til dig inden for få minutter.



        Se privatlivspolitikken her.