Contact us: +45 32 67 26 26

Hvad Er NIS2, Og Hvordan Vil Det Påvirke Din Organisation?

Sarah Hofmann
By: Sarah Hofmann IT-sikkerhed | 5 august

NIS2 (Network and Information Security) -direktivet er EU’s seneste politik, der har til formål at forbedre medlemslandenes kollektive IT-sikkerhed. Direktivets endelige tekst forventes godkendt i 2022, hvilket betyder, at alle relevante organisationer forventes at overholde de nye krav i 2024. Direktivet vil sikre, at alle organisationer, der tjener en væsentlig funktion i samfundet, har et højt IT-sikkerhedsniveau. I dette indlæg diskuterer vi, hvad NIS2 er, hvilke slags organisationer det gælder for, og de nye sikkerhedskrav som organisationerne skal opfylde. Her er, hvad det handler om, om det gælder for din organisation, og hvad du bør gøre, hvis det gør. 

Indholdsfortegnelse

 

Hvad er NIS2? 

Den nye EU-politik NIS2 er under udvikling og alle EU-lande forventes at rette sig efter lovgivningen i 2024. NIS2 formål er at beskytte organisationer imod IT-trusler især de organisationer, som håndterer samfundskritisk infrastruktur og funktioner. Grunden til at beskytte netop de organisationer er for at højne den generelle IT-sikkerhed i hele EU. For at nå det mål må NIS2 fokusere på organisationer, som varetager kritiske funktioner i samfundet. Disse organisationer er typisk nogen som samfundet er afhængigt af, for at kunne fungere optimalt. Det betyder også, at de er i større risiko for at blive ramt af IT-kriminalitet, da de kriminelle ønsker at have indflydelse. Det nye direktiv indeholder skærpede krav for sikkerhed, strengere rapporteringer og obligationer og strengere håndhævelseskrav for flere organisationer end det første NIS-direktiv. 

Organisationer inkluderet i NIS2-direktivet omfatter virksomheder og organisationer, der leverer tjenester, som er afgørende for samfundsmæssige og økonomiske aktiviteter

Spørgsmålet er, om det også omfatter din organisation? 

Påvirker NIS2 din organisation? 

Det gør den, hvis du arbejder i en af ​​de sektorer, som den oprindelige NIS omfattede, eller en af ​​de sektorer som den nye NIS2 har føjet til listen. 

Det oprindelige NIS-direktiv omfatter organisationer i følgende sektorer: 

  • Sundhed 

  • Digital infrastruktur 

  • Transport 

  • Vandforsyning 

  • Digitale tjenesteudbydere 

  • Bank- og finansmarkedsinfrastruktur 

  • Energi 

Det nye NIS2-direktiv tilføjer: 

  • Udbydere af offentlige elektroniske kommunikationsnetværk eller -tjenester  

  • Spildevand og affaldshåndtering 

  • Fremstilling af ekstra vigtige produkter (f.eks. lægemidler, medicinsk udstyr og kemikalier) 

  • Fødevarer 

  • Digitale tjenester (f.eks. sociale netværksplatforme og datacentertjenester) 

  • Rummet (f.eks. rumfart) 

  • Post- og kurertjenester 

  • Offentlig administration 

Det er vigtigt at bemærke, at NIS2 gælder for organisationer inden for EU, men organisationer uden for EU, som er essentielle i et EU-land, er også forpligtet til at overholde direktivet. 

Hvorfor blev NIS2 udviklet? 

Før vi dykker ned i, hvad du bør gøre, så lad os få lidt baggrundsinformation. EU’s første IT-sikkerhedspolitik, NIS-direktivet, der trådte i kraft i 2016, trængte til en opdatering i kølvandet på nye IT-sikkerhedstrusler. Under COVID-19 pandemien oplevede verden en stigning i IT-angreb, hvilket fik Europa-Kommissionen til at foreslå NIS2-direktivet.  

NIS2 vil udfylde hullerne i det oprindelige NIS-direktiv ved at udvide omfanget af kritiske tjenesteudbydere, styrke sikkerhedskravene i disse organisationer, adressere forsyningskædesikkerhed og øge rapporteringsforpligtelser og -håndhævelse. Når NIS2 er vedtaget, vil direktivet erstatte NIS-direktivet med en mere omfattende politik for at styrke IT-sikkerheden og modstandskraften hos væsentlige tjenesteudbydere i EU. Målet er, at det vil forberede organisationer til bedre at håndtere nutidens IT-sikkerhedsrisici. 

NIS2 vil erstatte NIS-direktivet, og det vil medføre, at flere organisationer skal overholde strengere krav til IT-sikkerhed.

NIS2 har tre overordnede mål 

NIS2s tre hovedmål er at øge IT-modstandsdygtigheden på tværs af væsentlige tjenesteudbydere, strømline modstandsdygtigheden gennem strengere sikkerhedskrav og sanktioner for overtrædelser og forbedre EU’s beredskab til at håndtere IT-angreb. 

Øge IT-modstandsdygtighed på tværs af vigtige tjenesteudbydere 

Det første mål er at øge modstandskraften på tværs af vigtige tjenesteudbydere i EU. Omfanget af tjenesteudbydere, der skal overholde NIS2, er større end i det oprindelige NIS-direktiv. Alle offentlige og private organisationer inden for disse kategorier skal overholde de samme IT-sikkerhedsforanstaltninger. Dette sikrer, at der er færre sårbarhedsområder hos EU’s kritiske tjenesteudbydere. 

Strømline modstandsdygtigheden med strengere sikkerhedskrav og sanktioner 

Det andet mål er bedre at tilpasse modstandskraften for alle relevante organisationer gennem strengere sikkerhedskrav og sanktioner for overtrædelser. Det oprindelige NIS-direktiv tillod organisationer selv at skræddersy deres overholdelse af IT-sikkerhedskravene. Selvom dette gav mulighed for fleksibilitet, skabte det også svage forbindelser og førte til inkonsistente sikkerhedsniveauer i hele EU. De nye krav, der kort er skitseret nedenfor, er bedre tilpasset og har til formål at reducere de uoverensstemmelser, der opstod under NIS-direktivet.  

Forbedre EU’s kollektive evne til at forberede sig på og svare på IT-angreb 

Det tredje mål med NIS2 er at øge EU's kollektive beredskab og parathed over for IT-trusler. Dette opnås ved at forbedre kommunikationen og informationsdelingen mellem EU og medlemsstaternes myndigheder. NIS2 skitserer også procedurer, der skal følges, hvis der opstår større utilsigtede IT-hændelser. 

Strengere IT-sikkerhedskrav 

For at opretholde et højt sikkerhedsniveau hos væsentlige tjenesteudbydere vil NIS2 kræve, at relevante organisationer skal overholde strenge krav til: 

  • Gennemførsel af risikovurderinger og at organisationerne har tilstrækkelige systemsikkerheds-informationspolitikker på plads 

  • Passende forebyggelse, opmærksomhed og reaktioner på IT-hændelser 

  • Krisestyring og operationel kontinuitet i tilfælde af en større IT-hændelse  

  • Sikkerhed i forsyningskæder, inklusive udbydere af databehandlings- eller lagringstjenester 

  • Sikkerhed i netværks- og informationssystemer, fra anskaffelse til udviklings- og vedligeholdelsesstadier 

  • At have politikker og procedurer på plads, der vurderer effektiviteten af IT-sikkerheds-risikostyringspraksisser 

  • Brug af kryptografi og kryptering 

Heldigvis er de fleste af disse krav ikke nye tiltag, og mange virksomheder arbejder forhåbentlig allerede på flere af disse områder. Det går også hånd i hånd med GDPR.

Billede af Risiko-analyse skabelon

Nye krav til hændelsesrapportering 

Derudover vil NIS2 kræve en to-trins proces til rapportering af sikkerhedsbrud til de relevante tilsynsmyndigheder. Når en organisation bliver opmærksom på et sikkerhedsbrud, skal organisationen først og fremmest indsende en indledende rapport inden for 24 timer efter, at de første gang er blevet opmærksom på hændelsen. Derefter har organisationen en måned til at afgive en endelig rapport.  

Højere sanktioner for NIS2-overtrædelser 

Direktivet skitserer retningslinjer for økonomiske minimumsbøder, der bør gives, når en organisation ikke overholder NIS2-kravene. Der er forskellige bøder afhængigt af en organisations type og størrelse. For eksempel, hvis en organisation overtræder NIS2, vil organisationen få bøder på 10 millioner EUR eller 2 % af organisationens årlige, globale omsætning (det samme som en GDPR-bøde for en mindre alvorlig overtrædelse). Derudover kan ledelsen af ​​ikke-kompatible organisationer holdes personligt ansvarlig for bruddet på NIS2.  

Hvordan vil dette påvirke organisationer I Europa? 

Når den endelige lovtekst til NIS2-direktivet er vedtaget, hvilket forventes at ske til efteråret, vil EU-medlemsstaterne og de organisationer, der opererer inden for dem, være forpligtet til at overholde de nye krav inden for den tid, der er angivet i NIS2 (generelt inden for 2 år). Organisationer, der tilhører de sektorer, som NIS2-direktivet dækker, vil være ansvarlige for at overholde de nye sikkerhedsforanstaltninger i NIS2. Det betyder, at hvis din organisation er en del af en af ​​sektorerne, er du forpligtet til at holde øje med opdateringerne. 

Vores anbefalinger til din organisation 

Vi ved ikke præcis, hvad kravene bliver, så det handler mest om at tage de indledende skridt, som vil være en god idé, uanset hvad der sker. Et af fokusområderne i NIS2 er at sikre, at organisationer har tilstrækkelige risikoanalyser og sikkerhedspolitikker på plads. Vi anbefaler altid, at organisationer vurderer deres sikkerhedsrisici og lægger planer for at undgå disse. Vi har oprettet en gratis skabelon til risikoanalyse samt en guide, som du kan bruge til at guide din risikovurdering. 

Vi har desuden ressourcer, som du kan bruge til at oprette og opdatere forskellige sikkerhedspolitikker hvert år: 

Derudover kan ISO 27001-kravene relateret til risikovurdering hjælpe din organisation med at dokumentere din risikostyringspraksis. Du kan læse mere om at blive ISO 27001 certificeret her. 

Bemærk: Det er vigtigt at arbejde med databehandlerpartnere, der har et højt sikkerhedsniveau, for at sikre en sikker forsyningskæde. Du kan læse vores guide om databehandlere og dataansvarlige her 

Er du interesseret i at læse mere om NIS2-direktivet? Her er et faktaark fra Europa-Kommissionen, der opsummerer nøgleelementerne.