Cybersikkerhed har aldrig været vigtigere for virksomheder i Danmark og resten af EU. I takt med stigende cybertrusler og digitalisering har EU introduceret NIS2-direktivet. Men hvad er NIS2, hvem bliver omfattet, og hvordan adskiller det sig fra det velkendte DORA-regulativ? Denne artikel giver dig en dybdegående gennemgang af NIS2 og dens betydning for danske virksomheder.

Hvad er NIS2?

NIS2 (Network and Information Security 2) er en opdatering af det oprindelige NIS-direktiv, der blev indført af EU i 2016. Formålet med NIS2 er at styrke cybersikkerheden i Europa og skabe ensartede regler for virksomheder og organisationer, der leverer kritiske tjenester.

I modsætning til det oprindelige NIS-direktiv udvider NIS2 både antallet af virksomheder, der er omfattet, og de krav, de skal opfylde. Hvor NIS fokuserede på sektorer som energi og transport, dækker NIS2 en langt bredere vifte af virksomheder og organisationer.

Formål med NIS2

• Forbedre cybersikkerheden på tværs af EU.
• Styrke modstandsdygtigheden mod cyberangreb.
• Skabe ensartede krav til virksomheder og organisationer.
• Øge samarbejdet mellem EU’s medlemslande i tilfælde af cybertrusler.

Hvem bliver omfattet af NIS2?

En af de væsentligste forskelle mellem NIS og NIS2 er omfanget af de virksomheder, der bliver omfattet af direktivet. NIS2 stiller krav til flere typer af virksomheder og dækker nu både “vigtige enheder” (Essential Entities) og “vigtige sektorer” (Important Sectors).

Branchenavne og sektorer omfattet af NIS2

Ifølge direktivet skal følgende sektorer og typer af virksomheder overholde de nye regler:

Vigtige sektorer (Essential Entities)

• Energi (elektricitet, olie og gas)
• Transport (luftfart, søfart, jernbaner, vejtransport)
• Sundhedsvæsen (hospitaler, farmaceutiske virksomheder, forskningscentre)
• Vandforsyning (drikkevand og spildevand)
• Finansielle tjenester (banker og forsikring)
• Offentlige institutioner (statslige og kommunale myndigheder)

Vigtige enheder (Important Sectors)

• Digital infrastruktur (datacentre, cloud-tjenester, internetudbydere)
• Fødevareproduktion og distribution
• Forsyningskæder (produkter og tjenester til kritisk infrastruktur)
• Produktionsvirksomheder (f.eks. producenter af kritiske teknologier)
• Digital serviceudbydere (online markedspladser og søgemaskiner)

Krav til virksomheder under NIS2

De virksomheder, der falder ind under NIS2, vil blive mødt med en række krav inden for cybersikkerhed, herunder:

• Risikostyring: Virksomheder skal foretage risikovurderinger og implementere passende sikkerhedsforanstaltninger.
• Hændelsesrapportering: Cybersikkerhedshændelser skal rapporteres til myndighederne inden for 24 timer.
• Forretningskontinuitet: Virksomheder skal have en beredskabsplan for at kunne opretholde drift under cyberangreb.
• Ledelsesansvar: Bestyrelser og ledelser får et direkte ansvar for at sikre overholdelse af NIS2.

Hvornår træder NIS2 i kraft i Danmark?

NIS2-direktivet blev vedtaget af EU den 27. december 2022, og EU-landene, herunder Danmark, har indtil den 18. oktober 2024 til at indføre direktivet i national lovgivning. Det betyder, at virksomheder og organisationer i Danmark skal være klar til at overholde de nye krav fra denne dato. Bekendtgørelserne for de enkelte sektorer er nu udskudt til juli 2025.

Hvad skal danske virksomheder gøre nu?

For at sikre overholdelse af NIS2 skal virksomheder allerede nu begynde at forberede sig. Her er nogle vigtige skridt:

• Identificer, om I er omfattet: Vurder, om jeres virksomhed falder ind under en af de sektorer, der er omfattet.
• Udfør risikovurdering: Lav en vurdering af virksomhedens nuværende cybersikkerhed.
• Implementer hændelsesrapportering: Sørg for at have systemer på plads til at rapportere sikkerhedshændelser inden for 24 timer.
• Træn ledelsen: Sørg for, at bestyrelse og ledelse er opmærksom på deres ansvar under NIS2.
• Etabler en beredskabsplan: Forbered en handlingsplan, der kan træde i kraft ved et angreb.

Hvad er forskellen på DORA og NIS2?

Selvom både DORA og NIS2 handler om cybersikkerhed, er deres fokus forskelligt.

Kort sagt

• NIS2 gælder for virksomheder på tværs af mange sektorer og har et bredt fokus på cybersikkerhed og kritisk infrastruktur.
• DORA gælder udelukkende for den finansielle sektor og handler primært om operationel robusthed.

CyberNordic kan hjælpe med NIS2-overholdelse

Hvis din virksomhed er omfattet af NIS2-direktivet, er det vigtigt at handle hurtigt. CyberNordic tilbyder en række løsninger, der kan hjælpe din virksomhed med at overholde direktivet:

• Risikostyring og analyse: Vi hjælper dig med at kortlægge trusler og vurdere din virksomheds sikkerhedsniveau.
• Incident Response: Med vores hændelseshåndtering kan vi hjælpe dig med at reagere hurtigt på cyberangreb.
• Awareness-træning: Vi træner dine medarbejdere i cybersikkerhed og skaber en kultur, hvor trusler opdages hurtigt.
• Beredskabsplaner: Vi hjælper med at udarbejde en plan for kontinuitet og drift, selv under et angreb.
• Overholdelse af NIS2: Vores eksperter sikrer, at din virksomhed opfylder kravene til rapportering, ledelsesansvar og risikostyring.

Konklusion

NIS2 er et vigtigt skridt i at beskytte EU’s kritiske infrastruktur og virksomheder mod cyberangreb. Direktivet udvider kravene til en række nye sektorer og stiller højere krav til ledelsens ansvar. For danske virksomheder betyder det, at der er behov for at gennemgå risikostyring, etablere hændelsesrapportering og forberede sig på NIS2’s ikrafttræden i oktober 2024 / juli 2025.

Hvis din virksomhed er omfattet af NIS2, skal du tage handling nu. CyberNordic står klar til at hjælpe din virksomhed med at navigere i de komplekse krav og sikre overholdelse. Har du brug for rådgivning om NIS2, er du velkommen til at kontakte os for en gratis indledende konsultation.

Har du spørgsmål om NIS2? Kontakt CyberNordic og få hjælp til at forberede dig på fremtidens krav til cybersikkerhed.