Hvad er NIS2?  

NIS2 stÃ¥r for Net- og Informationssikkerhed og er en udvidelse af NIS1, der blev introduceret i 2018 for at styrke cybersikkerheden i samfundskritiske sektorer i Europa?  

NIS2-direktivet forventes fuldt implementeret i oktober 2024, som er tidspunktet, hvor din virksomhed – sÃ¥fremt den er omfattet – skal leve op til nye, skærpede sikkerhedskrav for at undgÃ¥ bøder.  

NIS2 stiller bÃ¥de krav til ledelse, risikostyring, forretningskontinuitet samt rapportering til myndighederne, og det er ledelsens ansvar at sikre, at cyberrisici identificeres og hÃ¥ndteres, og at kravene overholdes  

Nedenfor stiller vi skarpt pÃ¥ de konkrete krav i NIS2, og hvad der forventes af din virksomhed for at leve op til NIS2. Det er vigtigt at fastslÃ¥, at de danske myndigheder endnu ikke har lagt sig fast pÃ¥ den danske implementeringsmodel – derfor kan nedenstÃ¥ende tolkning ændre sig. NÃ¥r det er sagt, stÃ¥r det klart, at krav til cybersikkerhed generelt vil blive skærpet mere og mere – og derfor er det en god ide allerede nu at kigge cybersikkerheden i virksomheden grundigt efter i sømmene.  

1. Risikoanalyse og sikkerhedspolitikker – I skal have en risikoanalyse, som sikrer sikrer, at I forstÃ¥r de risici, som ligger i, at virksomheden kan blive ramt af en cybersikkerhedshændelse og de forretningsmæssige konsekvenser, de vil have for din virksomhed. Kun pÃ¥ den mÃ¥de kan I foretage de rigtige foranstaltninger til at hÃ¥ndtere risiciene. 

2. HændelseshÃ¥ndtering – I skal have en plan for at hÃ¥ndtere hændelsen, hvis uheldet er ude. Hvad gør I, nÃ¥r skaden sket? I skal være i stand til at vurdere krisens omfang og karakter, og hvis der er tale om en krisesituation, skal I igangsætte en beredskabsplan, som I har lavet og testet løbende. Dermed forventes det ogsÃ¥, at virksomheden har en beredskabsplan (se næste punkt) 

3. Sikring af drift og krisestyring – Det er afgørende at I har en it-beredskabsplan klar, sÃ¥ I ved, hvem der har ansvaret, og hvad der skal gøres for at mindske krisen. At have et godt kriseredskab handler ogsÃ¥ om at have en procedure for at lave back-up, som kan være med til at sikre en hurtig genetablering af driften i virksomheden.  

4. Sikkerhed i forsyningskæden – I skal have overblik og styr pÃ¥ de sikkerhedsrelaterede aspekter af virksomhedens relation til leverandører og samarbejdspartnere, sÃ¥ du ikke fÃ¥r cyberkriminelle ind i dine systemer gennem et svagt led i forsyningskæden. Hvis leverandørerne f.eks. har D-mærket eller en anden mærkningsordning, ved du, at leverandøren lever op til en række sikkerhedskrav. Hvis ikke kan du ogsÃ¥ bruge disse mærker til at vide, hvilke krav du bør stille til dine samarbejdspartnere.  

5. Sikkerhed i netværks- og informationssystemer – I skal være opmærksomme pÃ¥ it-sikkerhed i forbindelse med erhvervelse, udvikling og drift af virksomhedens net- og informationssystemer, herunder hÃ¥ndtering og offentliggørelse af sÃ¥rbarheder. Det er ogsÃ¥ vigtigt, at I har tiltag til at forebygge og opdage angreb pÃ¥ disse systemer. 

6. Politikker og procedurer til at vurdere effektiviteten af sikkerhedstiltag – Det forventes, at I løbende tester og reviderer sikkerhedstiltag i forretningen, sÃ¥ I sikrer, at planer og tiltag virker, og at forretningen dermed er reelt modstandsdygtig over for hændelser.  

7. Cyberhygiejnen og cybersikkerhedsuddannelse – I skal have cyberhygiejnen pÃ¥ plads, hvilket vil sige skabe gode sikkerhedsvaner sÃ¥som stærke passwords samt løbende opdateringer af software og antivirus. I skal ogsÃ¥ sørge for, at medarbejderne bliver uddannet i cybersikkerhed og at denne træning løbende vedligeholdes og opdateres. 

8. Politikker for brug af kryptografi og kryptering –Bruger I kryptering i forretningen, skal I lave politikker vedrørende brug af kryptografi. Det er vigtigt at forholde sig til, hvilke data der skal krypteres og hvordan. Det gælder bÃ¥de data i centrale systemer, data pÃ¥ f.eks. computere og telefoner, data der ligger eksternt, og kommunikation mellem systemer, hvor der udveksles data.  

9. Personalesikkerhed og adgangskontrolpolitikker – Det helt centrale her er, at I skal have styr pÃ¥ brugerrettigheder; hvem har adgang til hvilke systemer og data? Og husk at rydde løbende op i disse rettigheder. Derudover skal der tilbydes træning til bestyrelser og den øverste ledelse i sikkerhed, databeskyttelse og dataetik. 

10. Multifaktorautentificering eller kontinuerlig autentificering – Hvor det er muligt, sÃ¥ skal I bruge løsninger med multifaktorlogin eller kontinuerlig autentificering, og brug sikret tale-, video- og tekstkommunikation.  

Derudover rummer NIS2 også artikel 23, hvor der stilles krav om, at rammes I af en hændelse, så skal I inden for fastlagte tidsrammer rapportere dette til myndighederne.