Her er nyhederne i den endelige version af NIS2-direktivet

Få styr på de vigtigste nyheder i NIS2-direktivet

Den 10. november 2022 blev NIS2-direktivet vedtaget i EU-parlamentet, og hvad er så nyt eller ændret i den endelige version i forhold til de tidligere udkast fra Kommissionen og EU-Parlamentet, som vi hidtil har haft adgang til?

For det første har de fleste artikler fået nyt nummer. Dels fordi der er kommet nye artikler ind i direktivet, men også fordi der er flyttet rundt på et par af dem.

Omfattede sektorer

Andre ændringer, som er værd at bemærke, er at Forvaltede IKT-tjenester, her under også Forvaltede sikkerhedstjenester, nu er blevet en omfattet sektor, hvilket kan have en ret væsentlig betydning, da det defineres temmelig bredt:

“udbyder af administrerede tjenester”: en enhed, der leverer tjenester i forbindelse med installation, administration, drift eller vedligeholdelse af IKT-produkter, -net, -infrastruktur, -applikationer eller andre net- og informationssystemer via assistance eller aktiv administration, der udføres enten i kundernes lokaler eller på afstand”.

og

“udbyder af administrerede sikkerhedstjenester”: en udbyder af administrerede tjenester, der udfører eller yder assistance til aktiviteter vedrørende styring af cybersikkerhedsrisici”.

Yderligere er Forskning også kommet med som en omfattet sektor i den endelige direktivtekst. Forskning defineres dog her som en enhed, hvis primære mål er at udføre anvendt forskning eller udvikling med henblik på at udnytte resultaterne af denne forskning til kommercielle formål, hvilket i udgangspunktet ikke inkluderer universiteterne i Danmark.

Det er også blevet tydeliggjort, om kommunerne er omfattet, idet centrale (statslige) og regionale forvaltningsenheder er omfattet. Men om lokale forvaltningsenheder er omfattet, lader direktivet være op til de enkelte medlemslande. Definitionen på central, regional og lokal er her, hvad der følger af hver enkelt medlemsstats nationale lovgivning.

I forhold til uddannelsesinstitutionerne er det også op til medlemsstaterne selv at bestemme, om disse skal være omfattet.

Typer af enheder

I Kommissionens første udkast og i EU-Parlamentets bemærkninger var det tidligere meget tydeligt defineret, hvilke enheder der var væsentlige og hvilke enheder, der var vigtige. Enheder i bilag 1 var væsentlige og enheder i bilag 2 var vigtige, dette er nu ændret en hel del.

Direktivet omfatter ikke små- og mikrovirksomheder, så det er i udgangspunktet KUN virksomheder, der både har flere end 50 ansatte og mindst €10 mio. i omsætning, som er omfattet af direktivets krav.

Det nye er, at alle enheder i bilag 1 og 2 nu er vigtige virksomheder, medmindre de falder ind under definitionen for væsentlige enheder.

Der er flere forskellige kriterier, som kan afgøre, om en enhed er væsentlig:

• Alle enheder i bilag 1, som har 250 ansatte og en omsætning på mindst €50 mio. er væsentlige enheder.
• Alle kvalificerede tillidstjenesteudbydere og topdomænenavneadministratorer samt DNS-tjenesteudbydere er væsentlige enheder.
• Alle udbydere af offentlige elektroniske kommunikationsnet eller af offentligt tilgængelige elektroniske kommunikationstjenester er væsentlige enheder.
• Alle offentlige forvaltningsenheder er væsentlige enheder.

Det sidste punkt betyder også, at hvis vi i Danmark vælger, at kommunerne er omfattet af direktivet, fordi de er kommuner, så vil de være væsentlige enheder.

Husk stadig på, at der er undtagelser (artikel 2, stk. 2) til undtagelsen om, at små- og mikrovirksomheder ikke er omfattet!

Foranstaltninger til styring af cybersikkerhedsrisici

I artikel 21, som er artiklen, hvor man finder kravene til sikkerhed, er der også kommet flere ting med i den endelige tekst. Det første, der er værd at bemærke, er, at der nu er tilføjet ordet ’operationelle’ til sætningen om sikkerhedsforanstaltninger, hvilket er relevant, da direktivet netop har til formål at sikre de systemer, som anvendes til de daglige operationer. Det er derfor nødvendigt, at sikkerheden er integreret her også.

Under de oplistede punkter, som er minimumskrav til de passende og forholdsmæssige sikkerhedsforanstaltninger, man skal træffe, er der sket følgende ændringer i forhold til hidtidige tilgængelige versioner af direktivet:

• Under punktet om driftskontinuitet er det nu tydeliggjort, at dette også omfatter backup-styring og reetablering efter en katastrofe (dette kom ind i Parlamentets bemærkninger, men var ikke en del af Kommissionens oprindelige udkast).
• Under punktet om forsyningskædesikkerhed er der kommet en meget enkel men også væsentlig tilføjelse, nemlig at det kun gælder den enkelte enheds direkte leverandører eller tjenesteudbydere. Dette begrænser omfanget af opgaven betydeligt for de omfattede enheder.
• Punktet om grundlæggende cyberhygiejnepraksisser og cybersikkerhedsuddannelse, som blev foreslået af Parlamentet, er nu også kommet med i den endelige tekst. Det samme gælder punktet om brugen af løsninger med multifaktorautentificering eller kontinuerlig autentificering, sikret tale-, video- og tekstkommunikation og sikrede nødkommunikationssystemer.
• Som et helt nyt punkt skal sikkerhedsforanstaltningerne nu også se på personalesikkerhed, adgangskontrolpolitikker og forvaltning af aktiver.
  
  

Vi er derfor endt med følgende ti punkter, der er mindstekravet til de passende og forholdsmæssige sikkerhedsforanstaltninger, man som organisation skal træffe, hvis man er omfattet af direktivet:

• Politikker for risikoanalyse og informationssikkerhed
• Politikker og procedurer til vurdering af effektiviteten af foranstaltninger til styring af cybersikkerhedsrisici
• Politikker og procedurer vedrørende brug af kryptografi og, hvor det er relevant, kryptering
• Håndtering af hændelser
• Driftskontinuitet, såsom backup-styring og reetablering efter en katastrofe, og krisestyring
• Forsyningskædesikkerhed, herunder sikkerhedsrelaterede aspekter vedrørende forholdene mellem den enkelte enhed og dens direkte leverandører eller tjenesteudbydere
• Sikkerhed i forbindelse med erhvervelse, udvikling og vedligeholdelse af net og informationssystemer, herunder håndtering og offentliggørelse af sårbarheder
• Grundlæggende cyberhygiejnepraksisser og cybersikkerhedsuddannelse
• Personalesikkerhed, adgangskontrolpolitikker og forvaltning af aktiver
• Brug af løsninger med multifaktorautentificering eller kontinuerlig autentificering, sikret tale-, video- og tekstkommunikation og sikrede nødkommunikationssystemer internt i enheden, hvor det er relevant