NIS2

Forbered din organisation på NIS2-direktivet

EU har med NIS2-direktivet vedtaget en opdateret lovgivning, som skal højne cybersikkerheden i essentielle sektorer.

Er du ansvarlig for håndtering af data i din virksomhed eller organisation, er det din opgave at sikre compliance i forbindelse med overførsel og opbevaring af følsomme personoplysninger og tilstrækkelig it-sikkerhed. Derfor bør du også holde dig ajour med de seneste regler og direktiver inden for databeskyttelse samt cyber- og informationssikkerhed.

Hvad er NIS2-direktivet?

NIS2-direktivet er en forordning, som har til hensigt at højne niveauet for informations- og cybersikkerhed på tværs af alle EU-lande. NIS er en forkortelse for directive on security of network and information systems.

Indtil nu, har samlingen af EU-retlige regler for cybersikkerhed, NIS1, været gældende. I NIS1 opstilles en række krav om nationale sikkerhedsstrategier og risikostyring, som skal efterleves af organisationer i særligt samfundskritiske sektorer. Afløseren, NIS2, indeholder en udvidelse af de sektorer, som bør omfattes af direktivets krav. Det er derfor ikke længere kun de samfundskritiske organisationer, som skal efterleve NIS2-direktivet.

Er du dataansvarlig i en større eller mellemstor kommerciel virksomhed med international aktivitet – for eksempel inden for transportsektoren, energi eller forsyning – kan det sagtens være, at NIS2-direktivet kommer til at omfatte din branche. Og hvis du vil være bedst muligt forberedt på de tiltag, som skal udføres i den forbindelse, kan du med fordel læse med her.

Hvorfor er der et nyt NIS-direktiv?

Selv om NIS1-direktivet kun er ganske få år gammelt, har det allerede vist sig at være forældet på en lang række områder. Eksperter har blandt andet vurderet, at formuleringen om, hvilke sektorer der skal inkluderes i direktivet, og som dermed er forpligtede til at efterleve de gældende krav, ikke er udtømmende.

”I det nye direktiv er der en væsentlig udvidelse i bredden af sektorer. I NIS1 havde man i første omgang kun slået ned på de allermest kritiske sektorer, men der er flere sektorer, som er vigtige, hvis ikke samfundet skal lide skade,” siger juridisk rådgiver hos Kammeradvokaten og specialist i jura og informationssikkerhed Emil Bisgaard til webmagasinet Version2.

Det er EU’s medlemslande, som i fællesskab er blevet enige om, hvilke organisationer og serviceinstitutioner der skal omfattes af det nye direktiv. Med den nye forordning er en lang række større og mellemstore virksomheder inden for en lang række brancher forpligtet til at efterleve direktivets krav.

Læs også: Hvad er ransomware?

Hvem (hvilke sektorer) har NIS2 konsekvenser for?

I Danmark vil implementeringen af NIS2-direktivet derfor få konsekvenser for flere organisationer, som ikke var omfattet af NIS1. Det betyder, at rigtig mange organisationer skal være årvågne i den kommende tid, hvis de ikke allerede på forhånd har udarbejdet risikovurderinger eller blot et overblik over organisationens it-infrastruktur.

Blandt de områder, som nærmest med sikkerhed vil blive berørt, finder du:

  • Transport, infrastruktur og logistik
  • Energi og forsyning
  • Bankvirksomhed
  • Sundhed og medicinalvareproduktion

Falder din organisation inden for en af disse kategorier, er det derfor en god idé at tjekke op på virksomhedens status, hvad angår cybersikkerhed, opbevaring og overførsel af persondata samt de eksisterende sikkerheds- og beskyttelsesforanstaltninger. Du bør også sørge for, at medarbejdere i relevante positioner er orienteret om de forestående ændringer og dermed rustet til at håndtere disse i hverdagen.

Du bør desuden være opmærksom på, at det ikke udelukkende er private virksomheder, som er omfattet af NIS2-direktivet. Også visse offentlige organisationer får pligt til at efterleve de skærpede krav. Det drejer sig primært om de offentlige institutioner, som har deres virke inden for sundhed samt kritisk infrastruktur og forsyning.

De offentlige organisationer, som er omfattet af NIS2-direktivet, har samtidig pligt til at sikre, at eventuelle underleverandører også overholder kravene i direktivet. Først når hele forsyningskæden er sikret, vil der være garanti for den optimale beskyttelse af data.

Læs også: Tips til passwords

Hvilke konsekvenser har NIS2 konkret for dig?

Som det fremgår ovenfor, har indførelse af NIS2-direktivet konsekvenser, som kan ligne følgevirkningerne efter indførelse af databeskyttelsesforordningen (GDPR) for få år siden. Du risikerer faktisk også at få bøder, hvis du ikke på lignende vis sikrer din virksomhed og sørger for, at den lever op til direktivets krav. Bøderne ligger i størrelsesordenen 2 procent af en virksomheds globale omsætning eller 10 mio. euro. Det kan derfor godt betale sig at være forberedt på NIS2-direktivet.

Du skal som ansvarlig for databeskyttelse og cybersikkerhed i din virksomhed eller organisation sørge for at skaffe dokumentation for virksomhedens sikkerhedsstrategier. Den interne og eksterne data-infrastruktur skal kortlægges, og eventuelle svagheder identificeres. Der skal udarbejdes en handleplan, som skal følges i forbindelse med underretning om væsentlige hændelser. Og du skal have en beredskabsplan klar samt en strategi for hurtig genopretning.

Derudover bør du altid sørge for, at organisationen på alle niveauer er rustet til at følge lovgivningen. Hver enkelt medarbejder skal være informeret om, hvad NIS2-direktivet indebærer for hans eller hendes arbejde, og kravene bør efterleves i hverdagen.

Læs også: Tips til at undgå man-in-the-middle-attack

Hvordan bliver din organisation klar til at leve op til kravene i NIS2-direktivet?

Hvis du ønsker at være på forkant med NIS2-direktivet, er det en god idé at starte allerede nu. Du kan med stor fordel lade dine medarbejdere gennemføre online-awareness-træningsforløb om it-sikkerhed hos MOCH. Vores løsning sikrer dig nem onboarding af nye medarbejdere, da vi kan intregrere compliance platformen op mod jeres AD.

Hos MOCH tilbyder vi uddannelse og awareness-træning af dine medarbejdere online. Er du nysgerrig på at opleve vores løsning og se, hvordan den kan hjælpe dig i dit arbejde med compliance? Så book en uforpligtende online, demo-session og se, hvordan vi kan hjælpe dig.

Comments are closed.