NIS2 – hvilken betydning har det for din virksomhed?

NIS2-direktivet, som snart bliver en del af dansk lovgivning, indebærer nye regler og krav for virksomheder på tværs af kritiske sektorer.


Hvilket formål har NIS2?

EU vedtog i december 2022 direktivet om netværks- og informationssikkerhed (NIS2). NIS2 erstatter den nuværende lovgivning om net- og informationssikkerhed fra 2018 (NIS1), som også vil blive afskaffet den 18. oktober 2024. NIS1 var den første betydningsfulde lovgivning inden for cybersikkerhed, men viste sig at være utilstrækkelig.

NIS2-direktivet har til formål at harmonisere og højne cybersikkerheden i medlemstaterne på tværs af sektorer og som varetager samfundskritiske funktioner og infrastruktur. 

Den stigende digitalisering af kritiske samfundssektorer, sammen med geopolitiske spændinger og en vedvarende forandrende trussel, fremhæver sårbarheden hos Danmarks samfundskritiske tjenester og virksomheder over for digitale angreb. Dette har udløst behovet for at forbedre vores samlede cyberforsvar og digitale robusthed i samfundet.


Hvad er NIS2-direktivet?

NIS2-direktivet bringer skærpede krav til mellemstore og store organisationers håndtering af cyber- og informationssikkerhed, der træder i kraft senest fra 18. oktober 2024. Disse organisationer udgør rygraden i samfundet og deres opretholdelse af net og informationssikkerheden er afgørende for samfundets normale funktion. Enhver forstyrrelse i disse organisationers aktiviteter kan have alvorlige konsekvenser, herunder betydelig påvirkning på økonomien og folkesundheden.


Hvem er omfattet?

Direktivet vil omfatte organisationer inden for EU's grænser eller dem, der leverer deres produkter eller tjenester inden for Unionen. NIS2 udvider omfanget af sektorer betydeligt og inddeler de 18 sektorer i "særligt kritiske" og "kritiske". Organisationerne vil blive kategoriseret som 'vigtige' eller 'væsentlige' baseret på faktorer som størrelse, sektor og kritikalitet. Disse kategorier påvirker ikke, hvilke sikkerhedskrav organisationer skal opfylde, men bestemmer hvordan myndigheder kan fører tilsyn og sanktionerer ved overtrædelse af direktivet.  Se nedenstående tabel for de berørte sektorer

Hvordan påvirker NIS2 din organisation?

Hvis man er omfattet af NIS2, så skal man foretage passende og forholdsmæssige tekniske, operationelle og organisatoriske foranstaltninger til at håndtere de risici og forhindre eller minimere virkningen af hændelser, der er forbundet med de systemer, der understøtter samfundskritiske tjenester. 

NIS2-direktivet skal nærmere blive udfyldt og konkretiseret i dansk ret gennem nye og opdaterede love, bekendtgørelser, vejledninger og standarder, der gælder fra den 18. oktober 2024. Overordnet skal organisationer etablere effektive processer for risikostyring, hændelseshåndtering, leverandørstyring, governance og ledelsesmæssig involvering. 

Sådanne foranstaltninger skal være baseret på en risikobaseret tilgang, der har til formål at beskytte netværket og informationssystemer samt det fysiske miljø af disse systemer fra hændelser, og skal omfatte mindst følgende:

  1. Politikker for risikoanalyse og informationssystemsikkerhed
  2. Håndtering af hændelser
  3. Driftskontinuitet (f.eks. backup-styring, reetablering og krisestyring)
  4. Forsyningskædesikkerhed
  5. Sikkerhed i forbindelse med erhvervelse, udvikling og vedligeholdelse af net- og informationssystemer
  6. Politikker og procedurer til vurdering af sikkerhedsforanstaltninger.
  7. Grundlæggende cyberhygiejnepraksisser og cybersikkerhedsuddannelse
  8. Politikker og procedurer for kryptering 
  9. Personalesikkerhed, adgangskontrolpolitikker og forvaltning af aktiver
  10. Brug af løsninger med multifaktorautentificering eller kontinuerlig autentificering, sikret tale-, video- og tekstkommunikation og sikrede nødkommunikationssystemer internt i enheden.

Udover ovenstående minimumsforanstaltninger medfører NIS2 også en række andre krav til organisationer. 

Ledelsen skal i højere grad være involveret i forbindelse med godkendelse af foranstaltninger til styring af cybersikkerhedsrisici. Derudover skal ledelsen også fører tilsyn med gennemførelsen af foranstaltninger, og stå til ansvar for organisationens manglende overholdelse af forpligtelserne. Ledelsen skal desuden have den nødvendige træning og viden i forbindelse med identifikation af risici, vurdere tiltag og konsekvens for den samfundskritiske tjeneste. 

Organisationer omfattet af NIS2 skal rapportere betydelige sikkerhedsbrud inden for 24 timer efter opdagelsen til relevante myndigheder. Inden for 72 timer skal de evaluere hændelsens alvor og kompromitteringsindikatorer. En endelig rapport med vurdering og konklusion skal indsendes inden for en måned. 


Hvad er konsekvenserne for ikke at overholde NIS2?

Organisationer kan forvente at blive overvåget gennem revisioner, on-site inspektioner og anmodninger om dokumentation for NIS2 compliance. Hvis organisationer ikke er opfylder kravene i NIS2, kan myndighederne tildele administrative bøder, hvor væsentlige enheder kan få maksimum på mindst 10 mio. euro mindst 2 % af den samlede globale årsomsætning i det foregående regnskabsår. Vigtige enheder kan få maksimum på mindst 7 mio. euro eller mindst 1,4 % af den samlede globale årsomsætning i det foregående regnskabsår.  

Derudover kan ledelsen blive ansvarliggjort på brød, hvor sanktioner i form af midlertidige forbud mod ledelsesfunktioner eller midlertidig suspension af services. 


BDO hjælper jer med at leve op til de nye lovkrav

For rigtig mange organisationer kan det virke som en uoverskuelig opgave at efterleve kravene fra NIS2-direktivet. Hvor starter man? Hvem skal inddrages? Hvordan får man omsat og implementeret kravene?

I BDO kan vi hjælpe jer gennem hele processen:

  • Scoping: vi kan hjælpe med at identificere og skabe et overblik over alle relevante aktiver og forretningsprocesser som bliver omfattet af NIS2. NIS2 er lavet til at beskytte samfundskritiske tjenester, forsyningskæder og infrastrukturer, hvorfor dette er en helt essentiel opgave for det videre arbejde. 
  • Ledelsesansvar: udarbejdelse af rapporteringsmetodik og fastlægge ledelsesansvar samt organisering af implementeringsarbejdet. 
  • Risikostyring: baseret på anerkendte standarder, kan vi bidrage med viden og værktøjer til at risikovurdere jeres aktiver, leverandører og forretningsprocesser samt implementering af foranstaltninger. Derudover kan vi bidrage med at forankre risikostyring på ledelsesnivau. Modenhedsvurdering: vi kan hjælpe med at vurdere din organisation nuværende modenhedsniveau og undersøge, hvilke konkrete områder, som ikke lever op til NIS2. 
  • Forsyningssikkerhed: identificere relevante leverandører og bidrage med tilsynsforpligtelse.  
  • Beredskabsplan: vi kan hjælpe med at udarbejde en beredskabsplan samt udarbejde og afprøve procedurer, hvis en hændelse (simuleret) indtræffer. 
  • Hændelsesrapportering: procedurer for hændelseshåndtering og indrapportering.


Relaterede artikler

Kontaktperson