Hvad er NIS2?  

Cyber-ikon-hacker

Cyber-ikon-hacker

Hvad er kravene, og hvad skal du forberede dig på, når det nye NIS2-direktiv bliver rullet ud i 2024?

NIS2 stÃ¥r for Net- og Informationssikkerhed og er en udvidelse af NIS1, der blev introduceret i 2018 for at styrke cybersikkerheden i samfundskritiske sektorer i Europa?  

NIS2-direktivet forventes fuldt implementeret i oktober 2024, som er tidspunktet, hvor din virksomhed – sÃ¥fremt den er omfattet – skal leve op til nye, skærpede sikkerhedskrav for at undgÃ¥ bøder.  

NIS2 stiller bÃ¥de krav til ledelse, risikostyring, forretningskontinuitet samt rapportering til myndighederne, og det er ledelsens ansvar at sikre, at cyberrisici identificeres og hÃ¥ndteres, og at kravene overholdes  

Nedenfor stiller vi skarpt pÃ¥ de konkrete krav i NIS2, og hvad der forventes af din virksomhed for at leve op til NIS2. Det er vigtigt at fastslÃ¥, at de danske myndigheder endnu ikke har lagt sig fast pÃ¥ den danske implementeringsmodel – derfor kan nedenstÃ¥ende tolkning ændre sig. NÃ¥r det er sagt, stÃ¥r det klart, at krav til cybersikkerhed generelt vil blive skærpet mere og mere – og derfor er det en god ide allerede nu at kigge cybersikkerheden i virksomheden grundigt efter i sømmene.  

  1. Risikoanalyse og sikkerhedspolitikker – I skal have en risikoanalyse, som sikrer sikrer, at I forstÃ¥r de risici, som ligger i, at virksomheden kan blive ramt af en cybersikkerhedshændelse og de forretningsmæssige konsekvenser, de vil have for din virksomhed. Kun pÃ¥ den mÃ¥de kan I foretage de rigtige foranstaltninger til at hÃ¥ndtere risiciene. 
  1. HændelseshÃ¥ndtering – I skal have en plan for at hÃ¥ndtere hændelsen, hvis uheldet er ude. Hvad gør I, nÃ¥r skaden sket? I skal være i stand til at vurdere krisens omfang og karakter, og hvis der er tale om en krisesituation, skal I igangsætte en beredskabsplan, som I har lavet og testet løbende. Dermed forventes det ogsÃ¥, at virksomheden har en beredskabsplan (se næste punkt) 
  1. Sikring af drift og krisestyring – Det er afgørende at I har en it-beredskabsplan klar, sÃ¥ I ved, hvem der har ansvaret, og hvad der skal gøres for at mindske krisen. At have et godt kriseredskab handler ogsÃ¥ om at have en procedure for at lave back-up, som kan være med til at sikre en hurtig genetablering af driften i virksomheden.  
  1. Sikkerhed i forsyningskæden – I skal have overblik og styr pÃ¥ de sikkerhedsrelaterede aspekter af virksomhedens relation til leverandører og samarbejdspartnere, sÃ¥ du ikke fÃ¥r cyberkriminelle ind i dine systemer gennem et svagt led i forsyningskæden. Hvis leverandørerne f.eks. har D-mærket eller en anden mærkningsordning, ved du, at leverandøren lever op til en række sikkerhedskrav. Hvis ikke kan du ogsÃ¥ bruge disse mærker til at vide, hvilke krav du bør stille til dine samarbejdspartnere.  
  1. Sikkerhed i netværks- og informationssystemer – I skal være opmærksomme pÃ¥ it-sikkerhed i forbindelse med erhvervelse, udvikling og drift af virksomhedens net- og informationssystemer, herunder hÃ¥ndtering og offentliggørelse af sÃ¥rbarheder. Det er ogsÃ¥ vigtigt, at I har tiltag til at forebygge og opdage angreb pÃ¥ disse systemer. 
  1. Politikker og procedurer til at vurdere effektiviteten af sikkerhedstiltag – Det forventes, at I løbende tester og reviderer sikkerhedstiltag i forretningen, sÃ¥ I sikrer, at planer og tiltag virker, og at forretningen dermed er reelt modstandsdygtig over for hændelser.  
  1. Cyberhygiejnen og cybersikkerhedsuddannelse – I skal have cyberhygiejnen pÃ¥ plads, hvilket vil sige skabe gode sikkerhedsvaner sÃ¥som stærke passwords samt løbende opdateringer af software og antivirus. I skal ogsÃ¥ sørge for, at medarbejderne bliver uddannet i cybersikkerhed og at denne træning løbende vedligeholdes og opdateres. 
  1. Politikker for brug af kryptografi og kryptering –Bruger I kryptering i forretningen, skal I lave politikker vedrørende brug af kryptografi. Det er vigtigt at forholde sig til, hvilke data der skal krypteres og hvordan. Det gælder bÃ¥de data i centrale systemer, data pÃ¥ f.eks. computere og telefoner, data der ligger eksternt, og kommunikation mellem systemer, hvor der udveksles data.  
  1. Personalesikkerhed og adgangskontrolpolitikker – Det helt centrale her er, at I skal have styr pÃ¥ brugerrettigheder; hvem har adgang til hvilke systemer og data? Og husk at rydde løbende op i disse rettigheder. Derudover skal der tilbydes træning til bestyrelser og den øverste ledelse i sikkerhed, databeskyttelse og dataetik. 
  1. Multifaktorautentificering eller kontinuerlig autentificering – Hvor det er muligt, sÃ¥ skal I bruge løsninger med multifaktorlogin eller kontinuerlig autentificering, og brug sikret tale-, video- og tekstkommunikation.  

Derudover rummer NIS2 også artikel 23, hvor der stilles krav om, at rammes I af en hændelse, så skal I inden for fastlagte tidsrammer rapportere dette til myndighederne.

Nyhedsbrev

Industriens Fond udsender nyhedsbreve én gang om måneden med seneste nyt fra Fonden

Ved tilmelding bekræfter jeg mit ønske om at modtage nyhedsbreve fra Industriens Fond. I må desuden gerne invitere mig til livearrangementer, webinarer og konferencer via email. Jeg kan til enhver tid trække mit samtykke tilbage. Når jeg tilmelder mig nyhedsbrevet, bekræfter jeg at have læst og accepteret Industriens Fonds persondatapolitik.