Globeteam
NIS2
Home » Sikkerhed » Compliance » NIS2
NIS2 betyder skærpet sikkerhed til samfundskritiske tjenester
Vi har tidligere været igennem NIS og GDPR, og nu skal vi i gang med NIS2. GDPR var for mange en lang, opslidende og dyr proces at komme igennem. Én af de vigtigste erfaringer fra dengang var, at de fleste først kom relativt sent i gang med forberedelserne. Man undervurderede opgavens omfang og betydning for kerneforretningen. Derfor er der ekstra god grund til at tage hul på NIS2-arbejdet allerede nu. Også selvom I først skal leve op til de nye lovkrav d. 18. oktober 2024.
Globeteam hjælper virksomheder og organisationer med at blive klar til NIS2. Vores kompetencer går på tværs af den strategiske risikostyring, de operationelle systemer (OT-miljøet) og de forretningsunderstøttende systemer. Vi kan træde ind som én af mange leverandører i et NIS2-projekt, eller vi kan drive hele projektet for jer fra start til slut.
Hvad er NIS2 og hvem er omfattet af NIS2-direktivet
NIS2 er et EU-direktiv, som har til formål at sikre infrastrukturen og de samfundskritiske tjenester mod nedbrud og cybertrusler via et højt, ensartet niveau af cyber- og informationssikkerhed på tværs af EU. Vedtagelsen af direktivet betyder skærpede krav til cyber- og informationssikkerhed hos alle store organisationer, der leverer væsentlige eller vigtige tjenester til samfundet.
De væsentligste forskelle til NIS-direktivet er, at langt flere sektorer nu bliver omfattet. At kravene til sikkerhedsforanstaltninger bliver skærpet. At der bliver ført skarpere tilsyn. Og at ledelsen kan blive holdt direkte ansvarlige for brud på loven.
Små virksomheder, der har en omsætning på mindre end 10 mio. euro eller færre end 50 ansatte, bliver som udgangspunkt ikke omfattet af lovgivningen. Der er dog adskillige undtagelser. Derfor bør virksomheder i de omfattede sektorer hurtigst muligt få afklaret, hvorvidt de er omfattet af NIS2-direktivet.
De omfattede sektorer er:
Energi, Transport, Bankvirksomhed, Finansielle markedsinfrastrukturer, Sundhed, Drikkevand, Spildevand, Digital infrastruktur, Offentlig forvaltning, Forvaltning af IKT-tjenester, Rummet, Post, Affaldshåndtering, Kemikalier, Fødevarer, Digitale udbydere, Fremstilling af medicinsk udstyr, elektroniske produkter, maskiner og køretøjer, Forskning.
Hvilke lovkrav stiller NIS2?
NIS2-direktivet stiller nye krav til organisationernes cyber- og informationssikkerhed, samt krav om tilsyn og rapportering. Kravene er:
- Politikker for risikoanalyse og informationssikkerhed
- Politikker og procedurer til vurdering af effektiviteten af foranstaltninger til styring af cybersikkerhedsrisici
- Politikker og procedurer vedrørende brug af kryptografi og, hvor det er relevant, kryptering
- Håndtering af hændelser
- Driftskontinuitet, såsom backup-styring og reetablering efter en katastrofe, og krisestyring
- Forsyningskædesikkerhed, herunder sikkerhedsrelaterede aspekter vedrørende forholdene mellem den enkelte enhed og dens direkte leverandører eller tjenesteudbydere
- Sikkerhed i forbindelse med erhvervelse, udvikling og vedligeholdelse af net og informationssystemer, herunder håndtering og offentliggørelse af sårbarheder
- Grundlæggende cyberhygiejnepraksisser og cybersikkerhedsuddannelse
- Personalesikkerhed, adgangskontrolpolitikker og forvaltning af aktiver
- Brug af løsninger med multifaktorautentificering eller kontinuerlig autentificering, sikret tale-, video- og tekstkommunikation og sikrede nødkommunikationssystemer internt i enheden, hvor det er relevant
Som noget nyt får ledelsen et mere direkte ansvar for, at ovenstående regler bliver overholdt, og kan derfor også sanktioneres direkte.
I denne video fortæller sikkerhedsrådgiver i Globeteam, Morten Eeg Ejrnæs Nielsen, om formålet med NIS2, hvorfor direktivet er fornuftigt fra et samfundsperspektiv og om de skærpede krav til ledelse, risikostyring, sikkerhedspolitikker mm.
Kom godt fra start
Hvis I er omfattet af NIS2-direktivet, anbefaler vi, at I allerede nu påbegynder arbejdet med implementering af de nye lovkrav. I Globeteam har vi særlig ekspertise i compliance og stor erfaring med implementering af nye krav til cyber- og informationssikkerhed.
En af de vigtigste komponenter i en effektiv implementering er at tage udgangspunkt i virksomhedens konkrete udfordringer og situation. På den måde skaber I et helhedsorienteret overblik, og I kan håndtere risici med en fælles forståelse for opgavens formål og omfang.
Konkret tilbyder Globeteam en række services, som kan sammensættes, så de passer præcis til jeres behov:
- Parathedsvurdering – overblik over jeres modenhed i forhold til NIS2-kravene
- Planlægning - strategi for jeres NIS2-implementering
- Implementering - praktisk implementering af NIS2 i jeres virksomhed
- Positionering - NIS2-indplacering i jeres overordnede risikostyring
- Udvikling - samlet, integreret og håndterbar risikostyringsmodel for hele jeres virksomhed
360 grader rundt om NIS2
Ved hjælp af en parathedsvurdering, der betragter jeres modenhed udefra, laver vi et 360 graders overblik ud fra NIST CSF rammeværktøjet, hvor vi kommer hele vejen rundt om fem af de primære funktioner i informationssikkerhed:
Identify: Organisatorisk forståelse for styring af sikkerhedsrisici
Protect: Foranstaltninger, der sikrer levering af kritisk infrastruktur
Detect: Opsporing af sikkerhedshændelser
Respond: Handlinger ved en opdaget sikkerhedshændelse
Recover: Evner til at få en tjeneste tilbage i drift efter nedbrud
Dette overblik giver en samlet indikation af jeres generelle modenhedsniveau på cyber- og informationssikkerhed, herunder NIS2, ligesom det giver et overblik over de forskellige underkategorier af jeres informationssikkerhed. Derved får vi mulighed for at identificere, hvor modenheden er lav, og hvor I med fordel kan fokusere, for at sikre NIS2-compliance.
Læs mere her om vores parathedsvurdering og prøv vores gratis NIS2 assessment tool
Vi hjælper med at sikre din virksomheds NIS2-compliance
I Globeteam er vi kendt for vores kompetencer inden for sikkerhed og risikostyring. Vi har bl.a. fokus på risikovurderinger, beredskabsplaner, beredskabstests og hybrid sikkerhed.
Vores tilgang sikrer, at I opnår compliance med de nye krav, samtidig med at der er fokus på, hvilke risici, der har størst betydning for organisationen som helhed. Dermed skaber vi et grundlag for prioritering af risici fra ledelsens side.
I Globeteam er vi mere end 50 sikkerhedseksperter, der kan hjælpe jer i mål med NIS2-opgaven og sikre jeres fortsatte drift på trods af nedbrud og cybertrusler.
Nyhedsbrev
Få vores nyhedsbrev
Hold dig opdateret på din virksomheds digitale muligheder med cases og faglige artikler