Hvad er NIS2? Alt, hvad du behøver at vide om EU's direktiv om cybersikkerhed
NIS2-direktivet er et EU-direktiv, der styrker de europæiske medlemsstaters og virksomheders cybermodstandsdygtighed gennem strengere regler. Det omfatter implementering af sikkerhedsforanstaltninger til forbedret it-beskyttelse samt sikkerhedskontrol og hurtige rapporteringskanaler til cybersikkerhedshændelser. Selvom Storbritannien ikke implementerer direktivet, da landet ikke længere er bundet af EU-lovgivningen, er det en god idé at kende til det, hvis man driver forretning inden for EU.
Hvad er NIS2-direktivet?
EU’s NIS2-direktiv har til formål at styrke modstandsdygtigheden over for cybersikkerhedstrusler i medlemsstaternes kritiske og vigtige infrastrukturer. Forkortelsen NIS2 står for »Network and Information Security 2«. Da det trådte i kraft den 16. januar 2023, afløste det det tidligere NIS1-direktiv, som allerede havde medført en ændring i tilgangen til it-sikkerhed.
For at sikre maksimal beskyttelse i både den private og den offentlige sektor i EU-medlemsstaterne indfører det nye NIS2-direktiv mere omfattende og strengere regler for en bredere målgruppe. På den måde skal de nye regler sikre større cybermodstandsdygtighed og en mere effektiv indsats mod cybersikkerhedstrusler og sikkerhedsbrud. NIS2 har også til formål at sikre, at kritiske institutioner, der forsyner befolkningen med livsvigtige varer eller tjenester, er beskyttet mod nedbrud og forstyrrelser i tilfælde af en krise.
Hovedformålet med NIS2 er at gøre virksomhederne bedre rustet mod cyberangreb og sikre en effektiv og hurtig reaktion på it-forstyrrelser. En mere ensartet sikkerhedsstrategi i EU-medlemsstaterne skal derfor skabe den bedst mulige cybersikkerhed på både nationalt og internationalt plan i EU-området. Alle medlemsstater skal gennemføre direktivet i national lovgivning, hvilket berører store virksomheder samt små og mellemstore virksomheder, der er omfattet af de nye regler.
Hvad ændrer NIS2-direktivet?
Forpligtelsen til at gennemføre NIS2-direktivet om styrkelse af cybersikkerheden (NIS2UmsuCG) medfører vidtrækkende ændringer i 18 forskellige sektorer. Blandt andet er antallet af sektorer, der klassificeres som kritiske, mere end fordoblet, og bødesatserne for manglende overholdelse er blevet skærpet. Desuden vil administrerende direktører også blive holdt ansvarlige.
I Tyskland, Spanien, Italien og Frankrig vil NIS2-direktivet for eksempel få konsekvenser for tusindvis af virksomheder. I Tyskland vil op til 40.000 virksomheder skulle overholde det nye direktiv, og i Italien vil det dreje sig om omkring 50.000 virksomheder. I Spanien vil ca. 25.000 virksomheder være omfattet af det nye direktiv, mens over 10.000 enheder vil blive berørt i Frankrig.
Her er et overblik over alle de ændringer, som NIS2-direktivet medfører:
- Udvidelse af omfanget af kritiske sektorer: NIS2 klassificerer endnu flere sektorer som kritiske.
- Strengere sanktioner: Direktivet øger bøderne for overtrædelser betydeligt
- Ledelsesansvar: Ledere har nu et direkte ansvar for overholdelse af cybersikkerhed.
- Udvidet anvendelsesområde: NIS2-direktivet gælder for virksomheder med mere end 50 ansatte eller en omsætning på over 10 millioner euro samt for visse virksomheder uanset størrelse.
- Behov for omfattende risikoanalyser: Virksomheder har pligt til at gennemføre grundige risikoanalyser.
- Krav til risiko- og sikkerhedsstyring: Der gælder strenge krav til risikostyring og sikkerhedsforanstaltninger. Forskellige beskyttelsesforanstaltninger såsom penetrationstests, hardware-firewalls og backup-strategier er obligatoriske.
- Obligatorisk krisestyring: Der kræves hurtige og effektive krisestyringsstrategier, kommunikationskanaler og rapporteringssystemer i tilfælde af sikkerhedshændelser.
- Brug af eksisterende sikkerhedsprotokoller: Virksomheder kan bruge eksisterende sikkerhedsstandarder fra regulerede brancher som reference.
Hvem er berørt af NIS2-direktivet?
NIS2 skelner mellem virksomheder i den udvidede kategori af »væsentlige« virksomheder og den helt nye kategori af »vigtige« virksomheder. Virksomheder med mere end 50 ansatte eller en årlig omsætning på 10 millioner euro eller derover berøres direkte. Derudover kan virksomheder også falde ind under NIS2 uanset deres størrelse, hvis deres svigt medfører systemiske risici. Kategorien “væsentlige” omfatter virksomheder fra elleve sektorer, herunder især virksomheder med kritisk infrastruktur, der er afgørende for staten og samfundet. Kategorien “vigtige” gælder til gengæld for syv sektorer, der er systemisk vigtige.
Vigtige sektorer og virksomheder
- Energi
- Vandforsyning
- Transport
- Bank
- Finansielle markedsinfrastrukturer
- Sundhed
- Rumfart
- Spildevand
- Offentlig forvaltning
- Digital infrastruktur
- IKT-servicestyring (B2B)
Vigtige sektorer og virksomheder
- Post- og kurertjenester
- Affald
- Kemisk industri
- Forsyning af fødevarer
- Udbydere af digitale tjenester
- Industri (forarbejdning/produktion)
- Forskning (valgfrit)
Hvilke forpligtelser gælder for virksomheder?
Som led i NIS2 er virksomheder underlagt strenge forpligtelser og væsentlige ændringer. Disse omfatter:
| Forpligtelser | Foranstaltninger |
|---|---|
| Risikostyring og forretningskontinuitetsstyring (§30, 31) | Kryptering, multifaktor-autentificering, kryptografi, cyberhygiejne, rollefordeling og adgangskontrol, backupstyring og systemgendannelse, sikkerhed i forsyningskæden og risikoanalyser er obligatoriske. Minimumskravene varierer afhængigt af virksomhedens størrelse takket være reglen om “størrelsesloft”. |
| Rapporterings- og underretningsforpligtelser (§32, 35) | Væsentlige sikkerhedshændelser skal rapporteres til myndighederne inden for 24 timer. Indledende vurderinger skal foreligge efter 72 timer. En detaljeret endelig rapport skal foreligge inden for en måned. |
| Registreringsforpligtelser (§33, 34) | Berørte organisationer og udbydere af domænenavnsregistreringstjenester skal indsende oplysninger til de ansvarlige myndigheder senest tre måneder efter, at NIS2 træder i kraft. Hvis registreringsforpligtelsen ikke opfyldes, kan den også opfyldes af et CSIRT (Computer Security Incident Response Team). |
| Godkendelses-, overvågnings- og uddannelsesforpligtelser for administrerende direktører (§38) | Det er ikke længere tilstrækkeligt, at ledelsen delegerer sikkerhedsforanstaltninger. Ledelsen skal aktivt godkende de nødvendige foranstaltninger og er delvist forpligtet til at sørge for uddannelse. |
| Tilsyns- og håndhævelsesforanstaltninger (§61, 62) | Et af CSIRT’erne forventes at fungere som tilsynsmyndighed for overholdelse af de krævede foranstaltninger. Tilsynsmyndigheden har tidligst tre år efter NIS2’s ikrafttræden mulighed for at anmode om dokumentation for overholdelse af forpligtelserne. Der kan pålægges foranstaltninger i tilfælde af overhængende fare. |
For at opfylde dine forpligtelser som berørt virksomhed på et tidligt tidspunkt bør du iværksætte følgende foranstaltninger:
- Analyse af den aktuelle situation og målsætning: Undersøg, om din virksomhed er omfattet af NIS2-forpligtelserne, og kortlæg den nuværende status for virksomhedens cybermodstandsdygtighed samt potentielle forbedringsområder.
- Implementering: Der skal indføres risikoanalyse og sikkerhedskoncepter for alle informationssystemer.
- Evaluering: Effektiviteten af din virksomheds egne risikostyringsmetoder bør gennemgås regelmæssigt.
- Udarbejdelse: Det er obligatorisk at udarbejde et koncept til håndtering af sikkerhedshændelser.
- Backup og krisestyring: Der skal implementeres foranstaltninger til sikkerhedskopiering af data og krisestyring.
- Rapporteringssystem: Der skal etableres et effektivt rapporteringssystem for sikkerhedshændelser.
- Uddannelse: Medarbejderne skal uddannes regelmæssigt.
- Sikkerhed i forsyningskæden: Sikkerheden i forsyningskæden skal sikres.
Hvad sker der, hvis NIS2 ikke implementeres?
Virksomheder, der ikke gennemfører de foreskrevne foranstaltninger, kan forvente at blive pålagt betydelige bøder (§ 65). I henhold til NIS2 har tilsynsmyndighederne omfattende beføjelser til tilsyn, kontrol og vejledning, herunder håndhævelse af frister. Derudover påtager direktører sig et væsentligt større ansvar for beskyttelses- og sikkerhedsforanstaltninger og kan holdes personligt ansvarlige i tilfælde af overtrædelser eller uagtsomhed (§ 38, § 61).
Hvornår træder NIS2-direktivet i kraft?
Den 14. december 2022 vedtog Europa-Parlamentet og Rådet direktiv (EU) 2022/2555, også kendt som NIS2-direktivet. Det indfører omfattende ændringer til eIDAS-forordningen (EU) nr. 910/2014 og EECC-direktivet (EU) 2018/1972. Det trådte officielt i kraft den 16. januar 2023 og erstatter NIS-direktivet. Det skal gennemføres i national lovgivning af alle EU-medlemsstater senest den 17. oktober 2024.
I de forskellige lande er det forskellige myndigheder, der har ansvaret for at lede gennemførelsen af direktivet. I Frankrig er det for eksempel ANSSI (Det Nationale Agentur for Informationssikkerhed), der står i spidsen for gennemførelsesarbejdet og endda har lanceret »Mon Espace NIS 2«, en digital tjeneste, der skal hjælpe organisationer med at gennemføre direktivet. BSI (Forbundskontoret for Informationssikkerhed) er den ansvarlige myndighed i Tyskland, og i Spanien overvåger CCN-CERT (Det Nationale Kryptologiske Center) cybersikkerhedsforanstaltningerne og sikrer overholdelse.