Globeteam

NIS2

Kontakt mig gerne, hvis du vil høre mere

Compliance

NIS2 betyder skærpet sikkerhed for tjenester, der er vigtige for samfundet

Vi har tidligere været igennem NIS og GDPR, og nu skal vi i gang med NIS2. GDPR var for mange en lang, opslidende og dyr proces at komme igennem. Én af de vigtigste erfaringer fra dengang var, at de fleste først kom relativt sent i gang med forberedelserne. Man undervurderede opgavens omfang og betydning for kerneforretningen. Derfor er der ekstra god grund til at tage hul på NIS2-arbejdet allerede nu. Også selvom I først skal leve op til de nye lovkrav d. 18. oktober 2024.

Hos Globeteam hjælper vi virksomheder og organisationer med at blive klar til NIS2. Vores kompetencer går på tværs af den strategiske risikostyring, de operationelle systemer (OT-miljøet) og de forretningsunderstøttende systemer. Vi kan træde ind som én af mange leverandører i et NIS2-projekt, eller vi kan drive hele projektet for jer fra start til slut.

Hvilke lovkrav stiller NIS2?

NIS2-direktivet stiller nye krav til organisationernes cyber- og informationssikkerhed, samt krav om tilsyn og rapportering. Disse krav til NIS2 er unikke og udformet med det formål at sikre adgang til de tjenester og leverancer – inklusive underleverandører – der er kritiske for samfundet. Det er derfor ikke nok at være ISO-certificeret eller at have D-mærket. Kravene er jf. artikel 21:

Politikker for risikoanalyse og informationssikkerhed
Politikker og procedurer til vurdering af effektiviteten af foranstaltninger til styring af cybersikkerhedsrisici
Politikker og procedurer vedrørende brug af kryptografi og, hvor det er relevant, kryptering
Håndtering af hændelser
Driftskontinuitet, såsom backup-styring og reetablering efter en katastrofe, og krisestyring
Forsyningskædesikkerhed, herunder sikkerhedsrelaterede aspekter vedrørende forholdene mellem den enkelte enhed og dens direkte leverandører eller tjenesteudbydere
Sikkerhed i forbindelse med erhvervelse, udvikling og vedligeholdelse af net og informationssystemer, herunder håndtering og offentliggørelse af sårbarheder
Grundlæggende cyberhygiejnepraksisser og cybersikkerhedsuddannelse
Personalesikkerhed, adgangskontrolpolitikker og forvaltning af aktiver
Brug af løsninger med multifaktorautentificering eller kontinuerlig autentificering, sikret tale-, video- og tekstkommunikation og sikrede nødkommunikationssystemer internt i enheden, hvor det er relevant

Som noget nyt får ledelsen et mere direkte ansvar for, at ovenstående regler bliver overholdt, og kan derfor også sanktioneres direkte.

I denne video fortæller sikkerhedsrådgiver i Globeteam, Morten Eeg Ejrnæs Nielsen, om formålet med NIS2, hvorfor direktivet er fornuftigt fra et samfundsperspektiv og om de skærpede krav til ledelse, risikostyring, sikkerhedspolitikker mm.

Kom godt fra start med tre fokusområder

Hvis I er omfattet af NIS2-direktivet, anbefaler vi, at I allerede nu påbegynder arbejdet med implementering af de nye lovkrav. I Globeteam har vi særlig ekspertise i compliance og stor erfaring med implementering af nye krav til cyber- og informationssikkerhed.

En af de vigtigste komponenter i en effektiv implementering er at tage udgangspunkt i virksomhedens konkrete udfordringer og situation. På den måde skaber I et helhedsorienteret overblik, og I kan håndtere risici med en fælles forståelse for opgavens formål og omfang.

Er du i tvivl om, hvor I skal starte i forhold til jeres implementering, anbefaler vi disse tre trin:

Få overblik over alle jeres digitale aktiver

Dvs. systemer og hardware i både IT- og OT-miljøet, der er nødvendige for driften af jeres tjenester. Og husk, at I skal kunne dokumentere overblikket overfor en tilsynsmyndighed.

Lav en risikovurdering af jeres forretning

Naturligvis set fra et samfundsperspektiv! Spørg fx jer selv, hvad der udgør den største trussel mod jeres leverance. Hvor og hvem truslen kommer fra. Hvad er risikofaktorerne og hvad ville der ske i tilfælde af en hændelse.

Fokuser på jeres beredskab og lav en beredskabsplan

Få styr på, hvordan I med et NIS2-perspektiv kommer tilbage efter et driftsnedbrud. Beredskabsplanen skal være testet, der skal trænes forskellige scenarier og alle skal kende deres roller og ansvar.

Globeteam tilbyder en række ydelser, som kan sammensættes, så de passer præcis til jeres behov:

Parathedsvurdering – overblik over jeres modenhed i forhold til NIS2-kravene
Planlægning - strategi for jeres NIS2-implementering
Implementering - praktisk implementering af NIS2 i jeres virksomhed
Positionering - NIS2-indplacering i jeres overordnede risikostyring
Udvikling - samlet, integreret og håndterbar risikostyringsmodel for hele jeres virksomhed

Compliance

Hvad er NIS2 og hvem er omfattet af NIS2-direktivet

NIS2 er et EU-direktiv, som har til formål at beskytte infrastrukturen og de tjenester og produktioner, som er vigtige for samfundet, mod nedbrud og cybertrusler. Det skal ske via et højt, ensartet niveau af cyber- og informationssikkerhed på tværs af EU. Vedtagelsen af direktivet betyder skærpede krav til cyber- og informationssikkerhed hos alle mellemstore og store organisationer, der leverer væsentlige eller vigtige tjenester til samfundet.

Du kan læse meget mere i vores temaserie om NIS2, hvor du bl.a. finder artikler, e-bøger, podcasts og videoer

De væsentligste forskelle til NIS-direktivet er, at langt flere sektorer nu bliver omfattet. At kravene til sikkerhedsforanstaltninger bliver skærpet. At der bliver ført skarpere tilsyn. Og at ledelsen kan blive holdt direkte ansvarlige for brud på loven.

Små virksomheder, der har en omsætning på mindre end 10 mio. euro eller færre end 50 ansatte, bliver som udgangspunkt ikke omfattet af lovgivningen. Der er dog adskillige undtagelser. Derfor bør virksomheder i de omfattede sektorer hurtigst muligt få afklaret, hvorvidt de er omfattet af NIS2-direktivet.

De omfattede sektorer er:

Energi, Transport, Bankvirksomhed, Finansielle markedsinfrastrukturer, Sundhed, Drikkevand, Spildevand, Digital infrastruktur, Offentlig forvaltning, Forvaltning af IKT-tjenester, Rummet, Post, Affaldshåndtering, Kemikalier, Fødevarer, Digitale udbydere, Fremstilling af medicinsk udstyr, elektroniske produkter, maskiner og køretøjer, Forskning.

Du kan se en detaljeret liste her

Arbejder du i den finansielle sektor, kan du læse mere om DORA forordningen her

Compliance

360 grader rundt om NIS2

Ved hjælp af en parathedsvurdering, der betragter jeres modenhed udefra, laver vi et 360 graders overblik ud fra NIST CSF rammeværktøjet, hvor vi kommer hele vejen rundt om fem af de primære funktioner i informationssikkerhed:

Identify: Organisatorisk forståelse for styring af sikkerhedsrisici

Protect: Foranstaltninger, der sikrer levering af kritisk infrastruktur

Detect: Opsporing af sikkerhedshændelser

Respond: Handlinger ved en opdaget sikkerhedshændelse

Recover: Evner til at få en tjeneste tilbage i drift efter nedbrud

Dette overblik giver en samlet indikation af jeres generelle modenhedsniveau på cyber- og informationssikkerhed, herunder NIS2, ligesom det giver et overblik over de forskellige underkategorier af jeres informationssikkerhed. Derved får vi mulighed for at identificere, hvor modenheden er lav, og hvor I med fordel kan fokusere, for at sikre NIS2-compliance.

Læs mere her om vores parathedsvurdering og prøv vores gratis NIS2 assessment tool

Lyt til podcasten 'SpecialistHjørnet'

Lyt her til podcasten SpecialistHjørnet, hvor Danish Crown gæster studiet og fortæller om deres arbejde med at implementere NIS2-kravene i en virksomhed med ca. 80 produktionsenheder og mere end 10.000 leverandører rundt om i verden.

Compliance

Vi hjælper med at sikre din virksomheds NIS2-compliance

I Globeteam er vi kendt for vores kompetencer inden for sikkerhed og risikostyring. Vi har bl.a. fokus på risikovurderinger, beredskabsplaner, beredskabstests og hybrid sikkerhed.

Vores tilgang sikrer, at I opnår compliance med de nye krav, samtidig med at der er fokus på, hvilke risici, der har størst betydning for organisationen som helhed. Dermed skaber vi et grundlag for prioritering af risici fra ledelsens side.

I Globeteam er vi mere end 50 sikkerhedseksperter, der kan hjælpe jer i mål med NIS2-opgaven og sikre jeres fortsatte drift på trods af nedbrud og cybertrusler.

FAQ

Spørgsmål og svar om NIS2

1. Hvad er NIS2?

NIS2 er en forkortelse af Net og Informationssikkerhed version 2, og er et EU-direktiv, der har til formål at sikre et højt, ensartet niveau af cyber- og informationssikkerhed på tværs af alle EU-medlemslande. NIS2-direktivet skærper omfanget og kravene til NIS-direktivet. Det betyder skærpede krav til cyber- og informationssikkerhed hos alle mellemstore og store organisationer og virksomheder, der leverer væsentlige eller vigtige tjenester til samfundet.

2. Hvornår træder NIS2-direktivet i kraft?

NIS2-direktivet trådte i kraft d. 17. januar 2023, men skal først efterleves fra d. 18. oktober 2024.

3. Hvad er formålet med NIS2-direktivet?

Formålet med NIS2 er at beskytte infrastrukturen, så vi som samfund kan sikre de tjenester og produktioner, der er vigtige for samfundet, så som vand, varme, gas, transport, medicin og fødevarer.

EU-direktivet skal sikre et højt, ensartet niveau af cyber- og informationssikkerhed på tværs af alle EU-medlemslande.

4. Hvem er omfattet af NIS2-direktivet?

Følgende sektorer er omfattet:

Energi, transport, bank, finans, sundhed, drikkevand, spildevand, rum, post, fødevarer, affaldshåndtering, kemikalier, digitale udbydere, fremstilling af medicinsk udstyr, elektroniske produkter, maskiner og køretøjer, offentlig forvaltning, forvaltning af IKT-tjenester, digital infrastruktur og forskning.

Du kan se en detaljeret liste her

Små virksomheder, med færre end 50 ansatte eller en omsætning mindre end 10 mio. euro er som udgangspunkt ikke omfattet af NIS2-direktivet.

5. Er kommuner omfattet af NIS2-direktivet?

Det er endnu ikke afklaret, om kommuner i Danmark er omfattet af NIS2, da det er op til de enkelte medlemslande selv at beslutte dette. Derimod er regioner og centrale myndigheder direkte omfattet af NIS2.

Uanset om kommunerne bliver omfattet eller ej, kan de indirekte blive omfattet af NIS2 gennem de opgaver, de varetager – herunder sundhedspleje, fjernvarme, affaldssortering m.m.

6. Hvilke krav stiller NIS2-direktivet?

Direkte ledelsesansvar, skærpet tilsyn og rapportering er nogle af de nye lovkrav i NIS2-direktivet. Fremover skal virksomheder og organisationer, der er omfattet af NIS2, dokumentere deres it-sikkerhed samt sikkerheden omkring deres forsyningskæder og leverandørforhold. Der kræves bl.a. dokumentation for:

– Gennemført dækkende og aktuelle risikovurderinger
– Implementerede sikkerhedsforanstaltninger, der er målrettet risiko, trusler og sårbarheder på netværk og IT-systemer

Krav til risikostyring, applikations- og softwaresikkerhed, beredskabsplaner, hændelseshåndtering, ledelsesforankring samt rapportering og underretning er nogle af de områder, der skal afdækkes i forbindelse med en NIS2-implementering.

I denne video fortæller Morten Eeg Ejrnæs Nielsen om NIS2-direktivet og dets lovkrav

7. Hvad er nyt i NIS2 i forhold til NIS?

EU har med NIS2 valgt at udvide og skærpe kravene til sikkerhedsforanstaltninger, kontrol og tilsyn for at strømline sikkerhedsniveauet på tværs af EU-medlemslandene. Det sker i erkendelse af, at NIS-direktivet ikke fungerede optimalt.

Som noget helt nyt, kan ledelsen nu blive holdt direkte ansvarlige for brud på loven. Der er desuden tilføjet flere sektorer og virksomheder, baseret på om de er vigtige eller væsentlige for samfundet. Herudover er også forsyningskæder og leverandører til vigtige og væsentlige sektorer omfattet af NIS2-kravene.

Nyhedsbrev

Få vores NIS2 nyhedsbrev

Tilmeld dig Globeteams særlige nyhedsbrev henvendt til dig, der arbejder med compliance og i særdeleshed NIS2.

I nyhedsbrevet deler vi ud af al vores viden om NIS2-direktivet. Du får artikler, nyheder, cases og meget andet, men kun med indhold relateret til compliance og NIS2.