Hvad betyder NIS2 for danske virksomheder?
EU har vedtaget en ny version af Net- og Informationssikkerhedsdirektivet, kendt som NIS2, som medlemslandene skal implementere senest den 17. oktober 2024. Dette nye direktiv skærper kravene til cyber- og informationssikkerhed for virksomheder og myndigheder på tværs af hele EU. Formålet er at harmonisere sikkerhedsniveauet og sikre mere effektiv håndhævelse og ensrettede sanktioner.
Hvad er NIS2-direktivet?
NIS2-direktivet udvider og forstærker de eksisterende regler for cybersikkerhed, og det gælder nu for en bredere vifte af sektorer. Tidligere var fokus primært på energisektoren, men nu inkluderes også sektorer som fødevareproduktion, affaldshåndtering og forsyningskæder, herunder vindmølleproducenter. Direktivet kræver, at alle organisationer, der varetager vigtige samfundsfunktioner, skal opfylde de nye sikkerhedskrav.
Hvilke krav stiller NIS2 til organisationer?
NIS2-direktivet stiller omfattende krav til ledelse, risikostyring, forretningskontinuitet og rapportering:
* Ledelsesansvar: Organisationens ledelse skal have et indgående kendskab til direktivets krav og sikre, at cyberrisici identificeres og håndteres effektivt. Ledelsen er direkte ansvarlig for, at sikkerhedskravene overholdes.
* Risikostyring og robusthed: Organisationer skal implementere omfattende risikostyringsstrategier, herunder både forebyggende og begrænsende foranstaltninger. Dette inkluderer incident management, cybersikkerhed i forsyningskæder, netværkssikkerhed, adgangskontrol og kryptering.
* Forretningskontinuitet: Organisationer skal have planer for at sikre forretningsdriften ved større cyberhændelser. Dette omfatter genopretning af systemer, nødprocedurer og etablering af en kriseorganisation.
* Rapportering: Der skal være processer på plads for korrekt rapportering til myndighederne. Større cyberhændelser skal rapporteres inden for 24 timer.
Tilsyn, håndhævelse og sanktioner
Myndighederne vil med NIS2-direktivet udvide deres tilsyn både i dybden og bredden. Tilsynet vil omfatte flere sektorer og vil være mere detaljeret, med krav om regelmæssige revisioner, rapportering og peer reviews for essentielle enheder. Vigtige enheder kan forvente tilsyn, tvungne revisioner og rapportering, hvis der er mistanke om, at de ikke lever op til kravene.
NIS2-direktivet markerer en væsentlig styrkelse af EU’s tilgang til cybersikkerhed. For virksomheder betyder dette, at de skal være forberedte på øgede krav og mere intensivt tilsyn, hvilket skal sikre en højere standard for informationssikkerhed i hele EU.