NIS2
Den Europæiske Union (EU) har krævet, at NIS2 direktivet skal overholdes fra oktober 2024 for adskellige organisationer i både den private og den offentlige sektor. Den nye cybersecurity regulering omfatter mange aspekter med fokus på en virksomheds sikkerhedspolitikker.
Læs her mere om kravene og hvordan vi kan hjælpe med at sikre, at I overholder NIS2 direktivets standarder.
Vi har sagt det før og vi siger det igen: cybersikkerhed må ikke tages for givet. Desværre fortsætter cyberangreb i både den private og offentlige sektor med at trives og udvides, som det fremgår af en stigning på 57% i sådanne angreb i Europa i 2023.
Disse hændelser fremhæver behovet for, at virksomheder revurderer og forbedrer deres IoT-sikkerhedsforanstaltninger.
Nu strækker den voksende bekymring om IoT-sikkerhed og cybersikkerhed i alle dens former sig ud over den private og offentlige sektor og omfatter også statslige organer.
Den Europæiske Union er lige så investeret i at tage store cybersikkerhedsforanstaltninger for at beskytte virksomheder mod enhver uønsket eksponering, især dem, der arbejder med kritisk infrastruktur.
Med nye EU-cybersikkerhedsregler, der implementeres inden længe, bør du gøre dig bekendt med NIS2-direktivet, dets formål, regler og de potentielle konsekvenser af manglende overholdelse.
Den seneste udmelding er, at vi får en lille forsinkelse. Det danske lovforslag vil bleve fremsat i oktober 2024 og forventes vedtaget i december 2024. Den danske lovgivning forventes derefter at træde i kraft fra den 1. januar 2025 og fra juli 2025 skal alle omfattede virksomheder være NIS2-compliant.
Hvad er forskellen på NIS og NIS2?
NIS-direktivet var det første stykke EU-dækkende lovgivning, der pålægger virksomheder, der opererer inden for EU’s anvendelsesområde, at opnå visse cybersikkerhedsstandarder.
Disse standarder omfattede foranstaltninger til at kontrollere og forebygge risici og forpligtelsen til at rapportere hændelser under samarbejde med myndigheder.
Dette direktiv var for det meste relevant for virksomheder, der arbejder i kritisk infrastruktur og vigtige digitale tjenesteudbydere i transport-, energi- og finanssektoren.
Det oprindelige NIS-direktiv blev introduceret for næsten 7 år siden, i 2017. Meget har ændret sig i den digitale verden siden da. Så det var uundgåeligt, at EU ville opdatere NIS-direktivet for at sikre IoT-sikkerhed. Og det gjorde den faktisk.
Denne anden iteration af NIS introduceret af EU er større, stærkere og strengere med det formål at etablere højere cybersikkerhedsstandarder for forbedret beskyttelse af netværksinfrastruktur, som virksomheder skal overholde inden oktober 2024.
Reguleringer som NIS2 direktivet foreskriver, at organisationer skal overholde
Der er fire overordnede typer krav i NIS2-direktivet, som er mest afgørende for en virksomhed at overholde:
1) Risikostyring – virksomheder skal mindske risici ved at fokusere på at styrke deres netværksinfrastrukturbeskyttelse, forsyningskædesikkerhed og netværksløsningers adgangskontrol og datakrypteringsmetoder.
2) Virksomhedens ansvarlighed – virksomhedsledelsen skal overvåge og instruere sine medarbejdere i at implementere sikkerhedsforanstaltninger i deres daglige opgaver og adressere eventuelle cybersikkerhedsrisici, de identificerer.
3) Rapporteringsforpligtelser – væsentlige og vigtige enheder skal omgående rapportere alle sikkerhedshændelser, de oplever, og overholde specifikke deadlines for rapportering af hændelser, såsom 24-timers tidlig advarsel.
4) Forretningskontinuitet – virksomheder skal på forhånd planlægge deres handlinger i tilfælde af en større cyberhændelse, herunder at udføre systemgendannelser, implementere nødprocedurer og tildele et dedikeret team, der er ansvarligt for krisestyring.
Da omfanget af cyberangreb også omfatter menneskelige fejl, vil it-afdelingen alene ikke være nok til at forberede sig.
Det er vigtigt, at fremme en cybersikkerhedskultur i organisationer ved at give medarbejderne grundlæggende og specialiseret viden om håndtering af bestemte situationer.
Ved at gøre det, vil alle interessenter i virksomheden have den information, de har brug for, og være i stand til at identificere problemområder og adressere dem. Dette garanterer kontinuitet i udviklingen af cybersikkerhedsprocessen.
For mere information, anbefaler vi at I kigger nærmere på NIS2-direktivets indhold.
Hvordan påvirker det jer?
Overvej dette spørgsmål omhyggeligt, da det oprindelige NIS-direktiv havde en snævrere indvirkning og påvirkede færre kritiske infrastrukturvirksomheder, der specialiserer sig i sektorer som energi, sundhed, transport, finans, vandforsyning og digital infrastruktur.
Nu fortsætter NIS2-direktivet ikke kun med at fokusere på disse seks sektorer, men udvides også til at omfatte ni yderligere sektorer, såsom affaldshåndtering, fremstilling, forskning, digitale udbydere og mere.
Så listen er meget længere, end den tidligere var. Det er også afgørende at tage hensyn til din virksomheds størrelse, når du skal afgøre, om NIS2-direktivet overholdes. Væsentlige enheder, defineret som virksomheder med omkring 250 ansatte og en årlig omsætning på over 370 mill. kroner, skal overholde.
Tilsvarende er vigtige enheder med omkring 50 ansatte og en omsætning på 75 mill. kroner også omfattet af direktivet.
Indrømmet! Vi ved ikke alt, men vi hjælper gerne, hvor vi kan.
Vi anbefaler, at I snarest tjekker op på NIS2-kravene.
Læs mere fra Dansk Standard her.