Hvad er NIS2?  

NIS2 står for Net- og Informationssikkerhed og er en udvidelse af NIS1, der blev introduceret i 2018 for at styrke cybersikkerheden i samfundskritiske sektorer i Europa?  

NIS2-direktivet forventes fuldt implementeret i oktober 2024, som er tidspunktet, hvor din virksomhed – såfremt den er omfattet – skal leve op til nye, skærpede sikkerhedskrav for at undgå bøder.  

NIS2 stiller både krav til ledelse, risikostyring, forretningskontinuitet samt rapportering til myndighederne, og det er ledelsens ansvar at sikre, at cyberrisici identificeres og håndteres, og at kravene overholdes  

Nedenfor stiller vi skarpt på de konkrete krav i NIS2, og hvad der forventes af din virksomhed for at leve op til NIS2. Det er vigtigt at fastslå, at de danske myndigheder endnu ikke har lagt sig fast på den danske implementeringsmodel – derfor kan nedenstående tolkning ændre sig. Når det er sagt, står det klart, at krav til cybersikkerhed generelt vil blive skærpet mere og mere – og derfor er det en god ide allerede nu at kigge cybersikkerheden i virksomheden grundigt efter i sømmene.  

1. Risikoanalyse og sikkerhedspolitikker – I skal have en risikoanalyse, som sikrer sikrer, at I forstår de risici, som ligger i, at virksomheden kan blive ramt af en cybersikkerhedshændelse og de forretningsmæssige konsekvenser, de vil have for din virksomhed. Kun på den måde kan I foretage de rigtige foranstaltninger til at håndtere risiciene. 

2. Hændelseshåndtering – I skal have en plan for at håndtere hændelsen, hvis uheldet er ude. Hvad gør I, når skaden sket? I skal være i stand til at vurdere krisens omfang og karakter, og hvis der er tale om en krisesituation, skal I igangsætte en beredskabsplan, som I har lavet og testet løbende. Dermed forventes det også, at virksomheden har en beredskabsplan (se næste punkt) 

3. Sikring af drift og krisestyring – Det er afgørende at I har en it-beredskabsplan klar, så I ved, hvem der har ansvaret, og hvad der skal gøres for at mindske krisen. At have et godt kriseredskab handler også om at have en procedure for at lave back-up, som kan være med til at sikre en hurtig genetablering af driften i virksomheden.  

4. Sikkerhed i forsyningskæden – I skal have overblik og styr på de sikkerhedsrelaterede aspekter af virksomhedens relation til leverandører og samarbejdspartnere, så du ikke får cyberkriminelle ind i dine systemer gennem et svagt led i forsyningskæden. Hvis leverandørerne f.eks. har D-mærket eller en anden mærkningsordning, ved du, at leverandøren lever op til en række sikkerhedskrav. Hvis ikke kan du også bruge disse mærker til at vide, hvilke krav du bør stille til dine samarbejdspartnere.  

5. Sikkerhed i netværks- og informationssystemer – I skal være opmærksomme på it-sikkerhed i forbindelse med erhvervelse, udvikling og drift af virksomhedens net- og informationssystemer, herunder håndtering og offentliggørelse af sårbarheder. Det er også vigtigt, at I har tiltag til at forebygge og opdage angreb på disse systemer. 

6. Politikker og procedurer til at vurdere effektiviteten af sikkerhedstiltag – Det forventes, at I løbende tester og reviderer sikkerhedstiltag i forretningen, så I sikrer, at planer og tiltag virker, og at forretningen dermed er reelt modstandsdygtig over for hændelser.  

7. Cyberhygiejnen og cybersikkerhedsuddannelse – I skal have cyberhygiejnen på plads, hvilket vil sige skabe gode sikkerhedsvaner såsom stærke passwords samt løbende opdateringer af software og antivirus. I skal også sørge for, at medarbejderne bliver uddannet i cybersikkerhed og at denne træning løbende vedligeholdes og opdateres. 

8. Politikker for brug af kryptografi og kryptering –Bruger I kryptering i forretningen, skal I lave politikker vedrørende brug af kryptografi. Det er vigtigt at forholde sig til, hvilke data der skal krypteres og hvordan. Det gælder både data i centrale systemer, data på f.eks. computere og telefoner, data der ligger eksternt, og kommunikation mellem systemer, hvor der udveksles data.  

9. Personalesikkerhed og adgangskontrolpolitikker – Det helt centrale her er, at I skal have styr på brugerrettigheder; hvem har adgang til hvilke systemer og data? Og husk at rydde løbende op i disse rettigheder. Derudover skal der tilbydes træning til bestyrelser og den øverste ledelse i sikkerhed, databeskyttelse og dataetik. 

10. Multifaktorautentificering eller kontinuerlig autentificering – Hvor det er muligt, så skal I bruge løsninger med multifaktorlogin eller kontinuerlig autentificering, og brug sikret tale-, video- og tekstkommunikation.  

Derudover rummer NIS2 også artikel 23, hvor der stilles krav om, at rammes I af en hændelse, så skal I inden for fastlagte tidsrammer rapportere dette til myndighederne.