NIS2
NIS2

Direktiv 2 om net- og informationssikkerhed

Da NIS1 tilsyneladende ikke var nok til at standse bølgen af ransomware

NIS2 er EU's opdaterede direktiv om cybersikkerhed, der erstatter det oprindelige NIS-direktiv. Det udvider i markant grad kredsen af organisationer, der skal tage cybersikkerhed alvorligt – fra energi og transport til sundhedssektoren, digital infrastruktur og endda fødevareproduktion. Hvis din organisation er afgørende eller vigtig for samfundet, har NIS2 noget at sige til dig.

Omfang

Mellemstore og store enheder inden for 18 kritiske sektorer (bilag I og II). Medlemsstaterne kan også medtage mindre enheder, hvis disse anses for at være kritiske. Direktivet anvender to kategorier: væsentlige enheder (strengere tilsyn) og vigtige enheder (mindre indgribende tilsyn, men stadig obligatorisk).

Geografisk dækning

EU-direktiv — hver medlemsstat gennemfører det i national lovgivning, så den konkrete gennemførelse varierer. Men de centrale forpligtelser er ens i hele EU.

Trådt i kraft den

18. oktober 2024 (Frist for medlemsstaternes gennemførelse: 17. oktober 2024)

Formål

At opnå et højt fælles niveau for cybersikkerhed i hele EU. Det oprindelige NIS-direktiv var uensartet – de forskellige lande gennemførte det på forskellig vis, hvilket skabte et lappearbejde af cybersikkerhed. NIS2 har til formål at gøre dette lappearbejde til et mere ensartet tæppe.

Gå til din rolle:

Væsentlig enhed

De opererer inden for en sektor med høj kritikalitet (bilag I): energi, transport, bankvæsen, infrastruktur på de finansielle markeder, sundhed, drikkevand, spildevand, digital infrastruktur, forvaltning af IKT-tjenester (B2B), offentlig forvaltning eller rumfart. Deres organisation har sandsynligvis over 250 ansatte eller en årlig omsætning på over 50 mio. euro. Hvis Deres tjenester går i stå, mærker folk det med det samme.

Dine forpligtelser

  • Gennemføre foranstaltninger til styring af cybersikkerhedsrisici på mindst 10 områder (artikel 21) — fra håndtering af sikkerhedshændelser til sikkerhed i forsyningskæden
  • Indberet væsentlige hændelser til dit nationale CSIRT eller den kompetente myndighed: foreløbig indberetning inden for 24 timer, fuldstændig indberetning inden for 72 timer, endelig rapport inden for 1 måned (artikel 23)
  • Sørg for, at medlemmerne af ledelsesorganet modtager uddannelse i cybersikkerhed og godkender risikostyringsforanstaltninger (artikel 20) — ja, bestyrelsen skal have indsigt i dette
  • Indfør sikkerhedsforanstaltninger i forsyningskæden, herunder en vurdering af dine kritiske leverandører (art. 21.2d)
  • Anvend kryptering, multifaktorautentificering og sikker kommunikation, hvor det er relevant (artikel 21, stk. 2, litra h–j)
  • Vedligeholdelse af planer for forretningskontinuitet, herunder sikkerhedskopiering og genopretning efter katastrofer (art. 21.2c)
  • Gennemføre regelmæssige sikkerhedsvurderinger og -revisioner (artikel 21, stk. 2, litra f)
  • Registrer dig hos din nationale kompetente myndighed (artikel 3)

Vigtige artikler

§ 3 — Væsentlige og vigtige enheder§ 20 — Ledelse§ 21 — Risikostyring inden for cybersikkerhed§ 23 — Indberetningspligt§ 32 — Tilsyn med væsentlige enhederBilag I — Sektorer af særlig kritisk betydning
Et godt råd

Fristen på 24 timer for tidlig varsling er ikke noget at spøge med. Sørg for at have en foruddefineret skabelon til hændelsesrapportering og en udpeget rapportør, der kender proceduren. Øv jer i rapporteringsforløbet, inden I får brug for det – midt i et ransomware-angreb klokken 3 om natten er det ikke det rette tidspunkt at finde ud af, hvordan CSIRT’s portal fungerer.

Vigtig enhed

De opererer inden for en kritisk sektor (bilag II): posttjenester, affaldshåndtering, fremstillingsindustrien, kemikalier, fødevarer, forskning eller digitale udbydere (markedspladser, søgemaskiner, sociale platforme). Deres organisation har over 50 ansatte eller en årlig omsætning på over 10 mio. euro. De kommer måske ikke i overskrifterne, hvis De går ned, men samfundet ville mærke tomrummet.

Dine forpligtelser

  • Gennemføre de samme foranstaltninger til styring af cybersikkerhedsrisici som de centrale enheder (artikel 21) — de 10 områder gælder på samme måde
  • Følg den samme tidsplan for indberetning af hændelser: varsling inden for 24 timer, underretning inden for 72 timer, endelig rapport inden for 1 måned (artikel 23)
  • Sikre, at ledelsesorganet modtager uddannelse, og at foranstaltningerne godkendes (artikel 20)
  • Gennemføre due diligence i forbindelse med forsyningskæden (artikel 21, stk. 2, litra d)
  • Vedligeholdelse af planer for forretningskontinuitet og krisestyring (artikel 21, stk. 2, litra c)
  • Registrer dig hos din nationale kompetente myndighed (artikel 3)

Vigtige artikler

§ 3 — Væsentlige og vigtige enheder§ 20 — Ledelse§ 21 — Risikostyring inden for cybersikkerhed§ 23 — Indberetningspligt§ 33 — Tilsyn med vigtige enhederBilag II — Andre kritiske sektorer
Et godt råd

Lad ikke ordet »vigtig« narre dig til at tro, at kravene er mindre strenge. Forpligtelserne er de samme som for væsentlige enheder – forskellen ligger i tilsynets omfang og sanktionerne. Der er stadig masser af grunde til at tage dette alvorligt.

Leder af cybersikkerhed / informationssikkerhed

Det er dig, der har ansvaret for at gennemføre NIS2-kravene i praksis. Uanset om din titel er CISO, IT-sikkerhedschef eller »den, der trak det korteste strå«, er det dig, der omsætter direktivets krav til konkrete sikkerhedsforanstaltninger, politikker og procedurer for håndtering af sikkerhedshændelser.

Dine forpligtelser

  • Udvikle og vedligeholde rammerne for risikostyring inden for cybersikkerhed i overensstemmelse med artikel 21's 10 områder
  • Indfør procedurer for registrering, håndtering og rapportering af hændelser, der overholder fristerne på 24 timer, 72 timer og 30 dage
  • Koordinere sikkerhedsvurderinger af forsyningskæden for kritiske tredjepartsleverandører
  • Udarbejde og afholde kurser i cybersikkerhed for ledelsen og medarbejderne
  • Gennemfør regelmæssige risikovurderinger, sårbarhedsscanninger og penetrationstest
  • Vedligeholdelse og test af planer for forretningskontinuitet og genopretning efter katastrofer
  • Sørg for tekniske foranstaltninger: kryptering, multifaktor-autentificering, netværkssegmentering, adgangskontrol
  • Dokumentér alt — NIS2-tilsyn er dokumentbaseret

Vigtige artikler

§ 21 — Alle 10 risikostyringsområder§ 23 — Tidsfrister for indberetning af hændelser§ 20 — Ledelsesorganets forpligtelser
Et godt råd

Udarbejd en overensstemmelsesmatrix, der knytter hvert område i artikel 21 til jeres eksisterende kontrolforanstaltninger. I vil sandsynligvis opdage, at I allerede opfylder 60–70 % af kravene i NIS2 – udfordringen ligger i at dokumentere det, udfylde hullerne og formalisere de tiltag, der i øjeblikket er baseret på en tilgang af typen »det gør vi sådan set allerede«.

Hvordan Euregas kan hjælpe

Tilgængelige værktøjer

  • Håndtering af hændelser — hold styr på hændelser med automatiske påmindelser om frister på 24 timer, 72 timer og 30 dage
  • Risikostyringsforanstaltninger (artikel 21) — struktureret vurdering på tværs af alle 10 påkrævede områder
  • Leverandørvurdering — 8-punkts-scoringssystem til vurdering af tredjeparters cybersikkerhedsniveau

AI-understøttede funktioner

  • Konsultationsguiden (nis2_scope) — en guidet vurdering i fem trin, der skal afgøre, om din virksomhed er en uundværlig eller vigtig enhed
  • Semantisk søgning i NIS2-artikler og betragtninger
Bemærk

Håndtering af hændelser og leverandørvurdering er manuelle, strukturerede arbejdsgange. Der er adgang til AI-assistance via vejledningen til afgrænsning af omfanget.

Alle eksempler er fiktive og tjener udelukkende til illustrative formål.