Blog

Hvad er NIS2?

Danmark har implementeret EU’s NIS2-direktiv gennem folketinget med loven om foranstaltninger til sikring af et højt cybersikkerhedsniveau (NIS2 loven) om cybersikkerhed og beredskab i kritiske sektorer. Loven stiller markant skærpede krav til virksomheder og organisationer, der leverer samfundskritiske eller vigtige tjenester.

For mange organisationer og virksomheder betyder loven, at cybersikkerhed ikke længere kun er et teknisk spørgsmål – men et ledelsesansvar og et regulatorisk krav.

Hos Nesp.One oplever vi, at mange virksomheder stadig forsøger at vurderer:

  • Hvad NIS2-loven i Danmark konkret indebærer.
  • Hvilke cybersikkerhedskrav der stilles til organisationer og hvordan man kommer i mål med de regulatoriske krav der stilles til omfattede virksomheder.

I denne blog vil de vigtigste elementer af loven blive gennemgået.

NIS2 i Danmark

Loven stiller krav om, at omfattede organisationer skal arbejde systematisk og risikobaseret med cybersikkerhed.

Det indebærer blandt andet krav om:

  • Styrket risikostyring.
  • Sikkerhed i netværks- og informationssystemer.
  • Håndtering og rapportering af sikkerhedshændelser.
  • Leverandør- og forsyningskædesikkerhed.
  • Ledelsesansvar for cybersikkerhed.

Samtidig etablerer loven et mere struktureret tilsyn med cybersikkerhed i danske virksomheder.

Hvilke virksomheder og organisationer er omfattet af NIS2?

Den danske NIS2-lov omfatter organisationer i en række sektorer, der anses for væsentlige eller vigtige for samfundet.

Eksempler på sektorer omfattet af NIS2-loven:

Væsentlige enheder

  • Energi.
  • Transport.
  • Finans.
  • Sundhed.
  • Digital infrastruktur.
  • Vandforsyning.
  • Offentlig administration.

Vigtige enheder

  • IT- og cloudleverandører.
  • Datacentre.
  • Fødevareproduktion.
  • Affaldshåndtering.
  • Produktion af kritiske produkter.

Organisationer og virksomheder klassificeres ifølge loven som enten:

Væsentlige enheder (Essential entities) eller vigtige enheder (Important entities).

For at opfylde betingelserne for at være en væsentlige enhed skal virksomheden være omfattet af Bilag 1: Sektorer af særlig kritisk betydning, og opfylde en af følgende betingelser:

  • Have 250 eller flere ansatte.
  • Have en årlig omsætning på over 373 millioner kroner og en årlig samlet balance på over 321 milloner kroner.

Ellers vil virksomheden kunne placeres som en vigtig enhed hvis den er omfattet af Billag 1 og 2, og opfylder en af følgende betingelser:

  • Have 50 eller flere ansatte
  • Have en årlig opsætning på over 74 millioner kroner og en årlig samlet balance på over 74 millioner kroner.

Begge kategorier er underlagt cybersikkerhedskrav, men graden af tilsyn og sanktioner kan variere alt efter hvilken kategori de hører under.

Derudover vil mange virksomheder indirekte blive påvirket gennem leverandørkrav fra kunder, der er omfattet af loven.

Hvorfor er NIS2 vigtigt for danske virksomheder?

Cybertruslen mod danske virksomheder er stigende, og angreb mod kritisk infrastruktur kan have store samfundsmæssige konsekvenser.

NIS2-loven skal derfor sikre, at organisationer arbejder mere struktureret med cybersikkerhed.

De vigtigste formål med loven er:

  • Styrket cyberrobusthed.
  • Organisationer skal være bedre rustet til at forebygge, opdage og håndtere cyberangreb.
  • Øget ansvar hos ledelsen.
  • Ledelsen har et tydeligt ansvar for organisationens cybersikkerhed og risikostyring.
  • Ledelsen kan personligt stilles til ansvarlig for manglende overholdelse af kravene.
  • Bedre håndtering af sikkerhedshændelser.
  • Organisationer skal kunne opdage og rapportere cyberhændelser hurtigt.
  • Øget fokus på leverandørsikkerhed.

Mange cyberangreb sker via leverandørkæder, og derfor stiller loven krav til håndtering af tredjepartsrisici.

Centrale cybersikkerhedskrav i NIS2-loven

Den danske NIS2-lov stiller krav om en række organisatoriske og tekniske sikkerhedsforanstaltninger.

De vigtigste områder omfatter blandt andet:

Risikostyring:

Organisationer og virksomheder skal gennemføre systematiske risikovurderinger af deres IT-systemer og digitale tjenester.

Dette omfatter blandt andet:

  • Identifikation af cyberrisici.
  • Etablering af sikkerhedspolitikker.
  • Implementering af passende sikkerhedskontroller.

Håndtering af sikkerhedshændelser:

Organisationer skal have processer til:

  • at opdage cyberangreb
  • at håndtere sikkerhedshændelser
  • at rapportere alvorlige hændelser til relevante myndigheder

Leverandør- og supply chain-sikkerhed:

Organisationer skal vurdere og håndtere cybersikkerhedsrisici hos leverandører og samarbejdspartnere.

Beredskab og kontinuitet:

Organisationer skal kunne opretholde eller hurtigt genetablere kritiske tjenester efter en cyberhændelse.

Dette inkluderer blandt andet:

  • Backup-strategier.
  • Disaster recovery-planer.
  • Beredskabsplanlægning.

Sårbarhedshåndtering:

Organisationer skal arbejde systematisk med:

  • Patch management.
  • Sårbarhedsscanning.
  • Sikker konfiguration af systemer.

Awareness og træning:

Medarbejdere skal have relevant træning i cybersikkerhed for at reducere risikoen for phishing, social engineering og andre angreb.

Vejen mod NIS2 compliance

For mange organisationer og virksomheder kan NIS2-loven virke omfattende. Heldigvis kan arbejdet struktureres gennem en række anerkendte sikkerhedsprocesser.

Hos Nesp.One anbefaler vi typisk følgende tilgang.

  1. Afklar om organisationen er omfattet

Det første skridt er at vurdere:

  • Om organisationen falder inden for en NIS2-sektor.
  • Om virksomheden klassificeres som væsentlig eller vigtig enhed.
  1. Gennemfør en NIS2 gap-analyse

En gap-analyse giver overblik over forskellen mellem organisationens nuværende sikkerhedsniveau og kravene i NIS2-loven.

Dette identificerer:

  • Eventuelle manglende sikkerhedskontroller.
  • Organisatoriske forbedringsområder.
  • Tekniske sikkerhedsforanstaltninger.
  1. Etabler et struktureret cybersikkerhedsprogram

Mange organisationer implementerer NIS2 gennem et Information Security Management System (ISMS).

ISO/IEC 27001 anvendes ofte som ramme, da standarden understøtter mange af NIS2-kravene.

  1. Involver ledelsen

NIS2 stiller tydelige krav til ledelsens ansvar.

Ledelsen skal blandt andet:

  • Godkende sikkerhedsstrategier.
  • Overvåge cyberrisici.
  • Sikre ressourcer til cybersikkerhed.
  1. Dokumentation og løbende forbedring

Organisationer og virksomheder skal kunne dokumentere deres cybersikkerhedsarbejde og løbende forbedre sikkerheden gennem:

  • Politikker og procedurer.
  • Sikkerhedskontroller.
  • Interne audits og compliance-opfølgning.

NIS2 bør ses som en strategisk mulighed

Selvom NIS2-loven introducerer nye regulatoriske krav, giver den også organisationer mulighed for at styrke deres samlede cybersikkerhed.

Organisationer og virksomheder der arbejder struktureret med cybersikkerhed opnår blandt andet:

  • Bedre beskyttelse mod cyberangreb.
  • Øget tillid fra kunder og samarbejdspartnere.
  • Stærkere governance og risikostyring.
  • Bedre kontrol og overblik over digitale aktiver.

Cybersikkerhed er i dag en forudsætning for digital tillid og nu også efterlevelse af lovkrav.

Hvordan kan Nesp.One hjælpe med NIS2?

Hos Nesp.One hjælper vi organisationer og virksomheder med at omsætte NIS2-lovgivningen til praktiske og operationelle løsninger.

Vi hjælper blandt andet med:

  • NIS2-afklaringer og scope-vurderinger.
  • NIS2 gap-analyser.
  • Etablering af ISMS og ISO 27001.
  • Sikkerhedspolitikker og procedurer.
  • Risikovurderinger.
  • Beredskab og hændelseshåndtering.
  • Governance og compliance-strukturer.

Vores mål er ikke kun at sikre compliance – men at skabe reel værdi og at operationalisere cybersikkerhed i organisationen eller virksomheden.

Kim R. Larsen //Cybersikkerheds ekspert Nesp.ONE, Nicklas Galver //studerende