Fra oktober 2024 træder EU’s NIS2 direktiv i kraft og med det bliver kravene for cybersikkerhed øget markant for både små og store virksomheder. I denne artikel kan du læse meget mere om hvordan NIS2 kommer til at påvirke din virksomhed, samt hvilke konsekvenser det vil have, hvis man ikke lever op til disse nye regler.

Hvad er NIS 2-direktivet?

NIS2 er et nyt direktiv udstedt af EU kommissionen. NIS står for ” Net- og Informationssikkerhedsdirektivet” – et direktiv der først så dagens lys i 2018 – NIS2 er derfor en udbygning af dette oprindelige NIS1 direktiv. 

EU-medlemsstaterne har indtil den 17. oktober 2024 til at implementere dette nye direktiv, selvom det allerede trådte i kraft i 16 januar 2023. Direktivet kommer til at øge kravene til håndhævelse af reglerne og ensrette sanktionerne i hele EU inden for internet- og cybersikkerhed.

Dette direktiv kommer til at få betydning for både små og store virksomheder herhjemme, hvorfor man som virksomhed allerede bør påbegynde sit compliance arbejde allerede nu. Lige nu regner man med, at dette direktiv vil have direkte indflydelse på mere end 14.000 danske virksomheder.

Siden der er tale om et EU-direktiv – og ikke en EU-forordning, er det op til de enkelte medlemslande at omsætte direktivet til bindende national lovgivning. Dette kan således påvirke, hvilke aktører, der i sidste ende bliver påvirket af direktivet og i hvilket omfang.

Hvem er omfattet af NIS 2-direktivet

Formålet med NIS2-direktivet er at yderligere styrke og ensarte cybersikkerheden og modstandsdygtigheden overfor cybertrusler på tværs af EU for virksomheder og offentlige institutioner  inden for en lang række sektorer, som anses for at være kritiske for økonomien og samfundet som helhed.

Direktivet er særligt henvendt mod store og mellemstore virksomheder, der arbejder med eller samarbejder med private eller offentlige aktører, der anses for at være samfundskritiske.

Med NIS 2 er listen af sektorer inden for kritisk og særligt kritiske sektorer blevet udvidet væsentligt i forhold til det oprindelige NIS1 direktiv fra 2018. 

I direktivet skelner man imellem ‘Væsentlige enheder’ og ‘Vigtige enheder’. 

Begrebet “Væsentlige enheder” omfatter offentlige og private enheder inden for følgende sektorer:

•       Energisektoren (elektricitet, fjernvarme, olie, gas og brint)
•       Transportsektoren (luft, jernbane, vand og vej)
•       Bankvirksomhed (kreditinstitutter)
•       Finansielle markedsinfrastrukturer (markedspladser)
•       Sundhedssektoren (sundhedstjenesteydere og lægemiddelsproducenter mv.)
•       Virksomheder inden for håndtering af drikke- og spildevand
•       Digital infrastruktur – herunder udbydere af cloudservices, datacentre, domænenavnssystemer (DNS), topdomæneregistre (TLD) og offentlige kommunikationsnet)
•       ITC services (Informations- og kommunikationstjenesteudbydere)
•   Udbydere af managed services og managed security services
•       Aktører inden for offentlig forvaltning (undtagen Folketinget, domstolene og Nationalbanken)
•       Rummet (operatører af jordbaseret infrastruktur).

Begrebet “vigtige enheder” omfatter offentlige og private enheder inden for:

•       Post-, bud- og kurertjenester
•       Affaldshåndtering
•       Fremstilling, produktion og distribution af kemikalier
•       Fremstilling, bearbejdning og distribution af fødevarer
•       Fremstilling af bl.a. elektronik, maskiner og motordrevne køretøjer
•       Udbydere af visse digitale tjenester (onlinemarkedspladser og -søgemaskiner samt sociale netværkstjenester)
•       Højere læreanstalter og forskningsinstitutioner

Hvem er ikke omfattet af NIS 2-direktivet?

Virksomheder med mindre end 50 medarbejdere og en årlig indtjening eller samlet balance på under 10 mio. Euro – også kendt som mikro- og små virksomheder, er generelt ikke inkluderet under NIS2-direktivet, selv om de betragtes som betydningsfulde eller essentielle.

Derudover har den enkelte medlemslandene mulighed for at fritage organisationer inden for forsvarssektoren, national sikkerhed og lovhåndhævelse fra NIS2.

MEN visse mikro- og små virksomheder er stadig underlagt NIS 2-direktivet på grund af deres aktiviteter. Dette omfatter:

•       Leverandører af offentlige digitale kommunikationsnetværk eller tjenester der er tilgængelige for offentligheden
•       Serviceudbydere for tillidstjenester (valideringsydelser)
•       Udbydere af topledelsesdomæneregistre (TLD) samt domænenavnssystemer (DNS)
•       Organisationer, der er den eneste udbyder af en service i et medlemsland, som er afgørende for opretholdelse af vitale samfunds- eller økonomiske funktioner
•       Organisationer, der tilbyder tjenester essentielle for samfundet, offentligheden eller en specifik branche.
•       NIS2-direktivet er desuden gældende for offentlige organisationer på nationalt niveau (som defineret af det enkelte medlemsland). Direktivet gælder også for aktører på regionalt niveau, hvor en forstyrrelse af deres tjenester kan have en markant indflydelse på vigtige økonomiske eller samfundsmæssige funktioner.
•       EU-medlemslande kan vælge at anvende direktivet på det kommunale niveau. Dette er dog ikke endelig fastlagt endnu.

Krav til din virksomhed under NIS 2

Udover at omfatte flere sektorer og virksomheder, så indeholder NIS 2-direktivet ligeledes en række nye krav, som danske virksomheder skal overholde.

Kernekravene i NIS 2-direktivet for både virksomheder og offentlige organisationer inkluderer regler for: 

• håndtering af risici og sikkerhedstiltag
• pligt til rapportering
• ledelsesansvar samt opsyn
• håndhævelse og strafsanktioner

Håndtering af risici og sikkerhedstiltag:

Det eksisterende NIS1-direktiv kræver, at de berørte organisationer iværksætter relevante tekniske og organisatoriske tiltag for at styre og begrænse sikkerhedstrusler, såsom ransomware og phishing, samt minimere konsekvenserne ved en sikkerhedshændelse.

NIS 2-direktivet bygger videre på disse forpligtelser og præciserer yderligere nødvendige sikkerhedstiltag, som minimum skal inkludere:

•       Strategier for risikoanalyse og cybersikkerhed
•       Håndtering af sikkerhedsbrud og hændelser
•       Beredskabsplanlægning og krisehåndtering (inklusive back-up løsninger)
•       Sikkerhed langs forsyningskæden, inklusive styring og sikkerhed af leverandører
•       Cybersikkerhed i forbindelse med anskaffelse, udvikling og vedligeholdelse af netværk og informationssystemer
•       Principper og procedurer for at evaluere effektiviteten af cybersikkerhedstiltag
•       Grundlæggende “computerhygiejne” og cybersikkerhedstræning
•       Strategier for brugen af kryptering
•       Sikkerhedsprotokoller for medarbejdere, adgang og forvaltning af ressourcer
•       Beskyttelse af interne kommunikationsnetværk.

Afrapporteringspligt:

Som en del af det oprindelige NIS-direktiv blev nationale Computer Incident Response Teams (CSIRT) oprettet. I Danmark udføres denne funktion af Center for Cybersikkerhed (CFCS). Organisationer under NIS2-direktivet er forpligtede til omgående, og senest inden 24 timer, at informere den relevante myndighed eller CSIRT om betydelige hændelser eller cybersikkerhedstrusler.

En hændelse vurderes som ”betydningsfuld”, hvis den har haft eller kan have konsekvenser i form af væsentlige driftsafbrydelser, økonomiske tab for organisationen eller konsekvenser for andre entiteter ved at forårsage væsentlige tab, både materielt og immaterielt.

Konsekvenser ved brud på NIS 2 – tilsyn og bødestraffe

Det er også vigtigt at tage højde for konsekvenserne ved ikke at leve til NIS 2-direktivet. Med dette nye direktiv vil der både blive ført øget tilsyn med virksomheden, samt blive uddelt  større bødestraffe end tidligere.

Myndighederne i de enkelte medlemslande vil fremover kunne udvide tilsynet både i dybden og bredden med virksomhederne. Tilsynene vil blive mere dybdegående, fordi tilsynsmyndigheder er forpligtet til at håndhæve kravene i direktivet. Tilsynet vil også blive udvidet i bredden, da omfanget af direktivet er udvidet til at gælde flere sektorer.

Essentielle enheder kan forvente løbende tilsyn i form af revisioner, rapportering og peer reviews, mens Vigtige enheder kan forvente tilsyn, tvungne revisioner og rapportering, hvis der er mistanke om, at organisationen ikke lever op til kravene i direktivet.

Direktivet udstikker også retningslinjer for de økonomiske konsekvenser ved ikke at være compliant. Her skelnes der klart imellem ”Væsentlige enheder” og ”Vigtige enheder”.

For ”væsentlige enheder” kan strafferammen blive sat til minimum 75 millioner kroner eller 2% af en virksomheds global årlige omsætning. For ”vigtige enheder” vil minimumsstraffen blive sat til enten 52,5 millioner kroner eller 1,4% af den globale omsætning. Strafferammen er derfor meget sammenlignelig med brud på GDPR-lovgivningen.

Udover de økonomiske konsekvenser fremgår det også af NIS2 direktivet, at ledelsen i en given virksomhed formelt kan blive stillet til ansvar for brud med sikkerheds- og anmeldelsespligten. 

Derudover skal ledelsen også gennemgå konkrete kurser for at blive bedre til at vurdere cybersikkerhedsrisici. Samtidig skal ledelsen også opfordre virksomheden til at tilbyde lignende kurser til alle medarbejdere regelmæssigt for at sikre virksomheden har kendskab til de nyeste cybertrusler.

Få hjælp til at blive 100% NIS 2 Compliant

Hos CyberNordic ved vi om nogen, hvor svært det kan være at gennemskue lovgivningen inden for cybersikkerhed. Vi tilbyder cybersikkerhedsløsninger og MSSP-tjenester for at hjælpe din virksomhed med at blive compliant. Særligt hvis du ikke er vant til at bruge masser af tid på netop dette område.  Hos CyberNordic tilbyder vi moderne sikkerhedsløsninger, som lever op til de sidste nye krav fra myndighedernes side. Vi kan derfor også hjælpe din virksomhed med at få klarhed over, hvad der skal gøres for at netop i bliver 100% compliant med den seneste nye lovgivning på området. 

Kontakt os i dag og lad os hjælpe jer med at blive klar til NIS 2.