NIS2-Direktivet: For at beskytte jeres digitale verden

NIS2-direktivet er det politiske svar på de cybertrusler, vi ser rettet mod Europa og resten af verden. Direktivet stiller konkrete krav til de omfattede virksomheder og får også konsekvenser for en lang række virksomheder, der ikke er direkte omfattet.

Er din virksomhed klar til at tage de aktuelle IT-sikkerhedsudfordringer op? Som virksomhedsejer eller leder er du muligvis allerede bekendt med begrebet NIS
(Network and Information Security), men ved du også, at der er lovgivning, du skal overholde? Og ved du, hvad lovgivningen indeholder?

NIS2-direktivet er et direktiv, der skal sikre vores digitale infrastruktur. Det omfatter både private virksomheder og den offentlige sektor, som forpligtes til at iværksætte foranstaltninger, der imødegår ondsindede angreb og sikrer, at virksomhederne er klar, hvis ulykken er ude.

8 hovedindsatser som konsekvens af NIS2-direktivet

Direktivet har flere væsentlige indsatsområder, der skal arbejdes med for at sikre den rette  beskyttelse. Her kommer de indsatsområder, I bør få styr på.

  1. Rapporteringspligt:
    Hvis I er en virksomhed, der betragtes som væsentlig eller vigtig, skal I rapportere alvorlige sikkerhedsbrud og hændelser til de nationale myndigheder (CSIRT for jeres sektor - Computer Security Incident Response Team) uden unødigt ophold og senest 24 timer efter I har fået kendskab til den.
  2. Risikovurdering og sikkerhedsforanstaltninger:
    Risikovurderinger skal gennemføres regelmæssigt (og ved ændringer), og topledelsen er personligt ansvarlige for at træffe passende  sikkerhedsforanstaltninger for at beskytte jeres netværk og informationssystemer.
  3. Sikkerhedsforanstaltninger for essentielle tjenester:
    I skal også implementere passende tekniske og organisatoriske
    foranstaltninger for at sikre en høj grad af it-sikkerhed og beskytte mod cyberangreb. Og selv om det ikke er et krav i lovgivningen, at man arbejder
    med ISO 27001, er det tydeligt, at lovgiverne har kigget dybt i ISO 27001 og direkte anbefaler, at man anvender allerede ”anerkendte” rammeværk for
    at sikre dette – man skal altså være næsten tonedøv for ikke at kigge i retning af ISO 27001, når man skal i gang med at etablere de rette tekniske og organisatoriske foranstaltninger – ikke mindst når de andre krav i NIS2 tages med i betragtning.
  4. Ledelsesengagement:
    Virksomhedsledelsen skal vise engagement og støtte i forhold til cybersikkerhed og etablere klare politikker og procedurer for cybersikkerhed. I øvrigt et andet essentielt krav også i ISO 27001.
  5. Incident Response Plan (hændelseshåndtering):
    I skal udvikle og implementere effektive hændelseshåndteringsplaner
    for at kunne reagere hurtigt og effektivt på sikkerhedsbrud og hændelser.
  6. Overvågning og logning:
    Som operatør skal I løbende overvåge jeres netværk og informationssystemer og opretholde detaljerede logs over aktiviteter for at muliggøre efterforskning af sikkerhedsbrud.
  7. Myndighedssamarbejde:
    I skal samarbejde tæt med de nationale myndigheder og CSIRT for at dele information om trusler og hændelser samt for at koordinere responsen på
    cyberangreb.
  8. Kvalifikationer og uddannelse:
    I skal desuden sørge for, at jeres personale har de nødvendige kvalifikationer og uddannelse inden for cybersikkerhed for at kunne håndtere trusler og
    hændelser.

ISO 27001 gør det nemt at leve op til NIS2

Har I allerede implementeret ISO 27001? Så er I næsten i mål med at leve op til NIS2-direktivet, fortæller Kåre Weng, der er ekspert i ledelsesystemer hos DNV.

”Hovedkravene i NIS2 er som udgangspunkt de samme som i ISO 27001. NIS2 nævner ikke ISO 27001, for lovgiverne anviser selvfølgelig ikke konkrete værktøjer til implementering af lovgivgning. Der er metodefrihed. Alligevel er der ingen tvivl om, at man har lænet sig op af et framework som ISO 27001, da man udviklede NIS2. Ikke kun derfor er ISO 27001 et oplagt værktøj, hvis man vil sikre overholdelse af kravene i NIS2,” fortæller Kåre Weng. Ifølge ham er der nemlig kun to yderligere krav, der ligger ud over ISO 27001. 

Det første handler om, at man i NIS2 også skal vurdere virksomhedens betydning for de samfundsmæssige risici. Hvis man er en del af den kritiske infrastruktur skal virksomhederne forholde sig til, hvad der sker med samfundet, hvis fx. metroen ikke kører, der ikke kommer vand i vandhanerne eller en virksomhed ikke kan levere medcin i en periode som følge af et nedbrud på grund af manglende IT-sikkerhed eller beredskab. 

Det andet krav, der ikke indgår i ISO27001, er rapporteringsforpligtelsen. Hvis man har et IT-nedbrud, så har man 24 timer til at rapportere det til CSIRTEN for den pågældende sektor. Kåre Weng fortæller, at begge krav også skal opfyldes gennem ISO 27001.

”Kravene i NIS2 bliver til krav fra relevante interessenter i ISO 27001, så indirekte vil man også skulle overholde disse krav med ISO 27001, selv om det ikke står direkte i standardens krav. Og derfor er dette rammeværk anderledes end mange andre, da overholdelse af regulatoriske krav altid vil være et krav til virksomheder, der er certificeret”, siger Kåre Weng.

Bliv klar til NIS2-Direktivet med DNV

Hvis I er omfattet af NIS2-direktivet, anbefaler vi, at I allerede nu påbegynder arbejdet med at implementere de nye lovkrav. I DNV har vi særlig ekspertise inden
for cyber- og informationssikkerhed, og vi er blandt de meget få danske virksomheder, der er akkrediteret til at certificere efter ISO 27001.

Få hjælp og viden om certificering

Ledelsesstandarden ISO 27001 kan være uoverskuelig at arbejde med, hvis man aldrig har prøvet det. Samtidig er det vigtigt, at man arbejder med det, der giver
værdi for virksomheden. I fremtiden er informationssikkerheden ikke en barriere for forretningen, men en katalysator for forretningen. 

DNV kan hjælpe jer, så I kommer godt i gang og får et ledelsessystem, der passer til jeres organisation og understøtter jeres forretning.

GAP-analyse

For at komme godt i gang er det en god idé at få lavet en GAP-analyse, der giver overblik over, hvor langt I er i forhold til at leve op til de nye krav. I GAP-analysen gennemgår vi jeres virksomhed og identificerer, hvorvidt I vil blive omfattet af direktivet samt eventuelle gaps i forhold til kravene i direktivet. Få en pris på GAP-analysen.

DNV self assessment

Som kunde i DNV får du adgang til vores digitale self assessment værktøj, hvor du kan måle din egen forståelse for en given standard, fx ISO 27001 og dit ledelsessystems faktiske modenhed.

På baggrund af den gennemførte self assessment får du en udførlig rapport, der afdækker, hvad der fungerer godt i dit ledelsessystem og hvor der er mangler, der
bør udbedres.

Lav en self assessment, hvis din virksomhed er i gang med at implementere et ledelsessystem for informationssikkerhed, eller brug den som et effektivt værktøj til løbende forbedring af dit eksisterende ledelsessystem. Adgang til self assessment værktøjet er gratis.

ISO 27701 – Privatlivsbeskyttelse

Standarden for privatlivsbeskyttelse ISO 27701 er et ledelsesværktøj, som giver indblik i de arbejdsgange og foranstaltninger, som virksomheder bør etablere for
at opnå en passende beskyttelse af personoplysninger. Standarden er en udvidelse af ledelsesstandarden ISO 27001 for informationssikkerhed, som mange virksomheder allerede har implementeret.

Med en certificering efter ISO 27701 kan man som virksomhed sikre en systematisk tilgang til implementering og drift af et ledelsessystem til privatlivsbeskyttelse og følsomme oplysninger og dokumentere sin forpligtelse
til proaktivt at håndtere og beskytte personlige oplysninger og lovmedholdenhed, fx i forhold til GDPR.

Europrivacy

Europrivacy-certificeringsordningen er udformet med henblik på at opfylde de specifikke forpligtelser i GDPR og fungere som officiel certificeringsordning i henhold til artikel 42 i GDPR. Den er blevet udviklet af eksperter i databeskyttelse i samråd med nationale tilsynsmyndigheder.

Certificeringsordningen forvaltes og ajourføres løbende af European Centre for Certification and Privacy (ECCP) i Luxembourg og dets internationale ekspertudvalg for databeskyttelse.

Europrivacy gælder for alle former for databehandling, herunder nye teknologier, og gør det muligt at dokumentere, vurdere og certificere overensstemmelse med
GDPR og supplerende nationale databeskyttelsesregler. Det giver dig mulighed for at udvælge prioriterede databehandlingsaktiviteter og gradvist certificere dem,
når de er klar. Fordelene ved en Europrivacy-certificering er mange, lige fra muligheden for at identificere og reducere juridiske og finansielle risici gennem Europrivacy-audit og gap-analyse til forbedring af omdømme og lettere adgang til markedet.

NIS2 DIREKTIVET – Hvad betyder det for dig og din virksomhed

EU-direktivet om cyber- og informationssikkerhed (NIS2) rammer en lang række danske virksomheder, og i stedet for er en opfølgning på det første EU-direktiv (NIS) fra 2016, der blev implementeret i Danmark i 2018.

NIS2 omfatter ikke blot en række nye sektorer, der ikke var omfattet af forgængeren, men stiller også bredere og dybere krav til cyber- og informationssikkerheden i store og mellemstore virksomheder. Det sker for at harmonisere og strømline sikkerhedsniveauet på tværs af medlemslandene. De skærpede krav for flere sektorer betyder, at din organisation skal forholde sig til blandt andet risikostyring, kontrol og tilsyn.

Brancher der omfattes af NIS2-direktivet

EU forventer, at NIS2 omfatter 10.000 europæiske virksomheder inden for følgende sektorer:

  • Energi
  • Transport
  • Bankvæsen
  • Finansielle markedsinfrastrukturer
  • Sundhed
  • Drikkevandsforsyning og -distribution
  • Digital infrastruktur
  • Online markedspladser
  • Online søgemaskiner
  • Clouding
  • Spildevands- og affaldshåndtering
  • Offentlig administration
  • Rumfart
  • Fødevareproduktion, -behandling og -distribution
  • Fremstilling af visse vigtige produkter, f.eks. medicinske
  • Post- og kurertjenester
  • Fjernvarme og distribution
  • Datacentre
  • Sociale platforme

Krav om certificering efter ISO 27001

For at opnå certificering skal du implementere et effektivt informationssikkerhedsledelsessystem, der opfylder kravene i ISO 27001. Det er tydeligt, at de krav direktivet stiller er best practice, og dermed kan du finde en
vejledning i, hvordan du skal imødekomme kravene i ISO 27001 og ISO 27002.

DNV er et tredjepartscertificeringsorgan og hjælper dig igennem hele processen.

Gå i gang nu

Vi ved af erfaring, at mange virksomheder først kommer i gang i sidste øjeblik, når det gælder ny lovgivning. Virksomhederne har stadig mulighed for at undgå ”panik før lukketid”, fordi der stadig er en rum tid, før loven træder i kraft. Men der skal handles nu, da det ofte tager fra 6 måneder og nogle gange op til to år, før en almindelig mellemstor virksomhed har styr på alle krav og processer.

5 skarpe til NIS2 eksperten

Vi har stillet Diana Görlitz, der er lead auditor hos DNV, fem spørgsmål om de nye NIS2-krav.

  1. Hvorfor udvider man nu NIS2-kravene?
    Udvidelserne af reglernes omfang i NIS2 skal bidrage til at øge IT-sikkerhedsniveauet i Europa på længere sigt. Morten Løkkegaard, der har
    deltaget i forhandlingerne om NIS2 har tidligere fortalt, at signalet til virksomhederne er, at kravene i princippet gælder for alle, fordi cyberog
    informationssikkerhed er relevant for alle virksomheder og kan være forretningskritisk for de fleste – derfor er ambitionen med NIS2 at sende
    et klart signal også til dem, der ikke er omfattet, at de skal tage cyber- og informationssikkerheden meget mere alvorligt, end de tidligere har gjort. Blandt andet derfor er der også krav om, at virksomhederne kigger på sårbarheder i deres leverandørkæde, og at de vurderer deres forretnings samfundsmæssige betydning.
  2. Hvornår skal man som virksomhed kunne leve op til de nye NIS2-krav?
    Her i slutningen af 2023 er det endnu ikke besluttet, hvordan den danske lovimplementering skal håndteres. Men vi ved, at omfattede virksomheder
    skal leve op til kravene i artikel 20 pr. oktober 2024. Virksomheder, der ikke overholder NIS2-kravene, kan forvente bødestraffe på op til 10 mio. euro.
    Da GDPR-kravene trådte i kraft var alt for mange virksomheder alt for sent ude, og det betød mangel på ressourcer, hvilket gjorde det  uhensigtsmæssigt dyrere at få hjælp det sidste år inden deadline.
  3. Hvad indeholder de nye krav?
    De nye NIS2-krav omfatter ledelsesforankret risikostyring, implementering af organisatoriske og tekniske foranstaltninger samt rettidig og fælles indberetning af cybersikkerhedshændelser, altsammen noget, som er omfattet af ISO 27001.
  4. Kan man sammenligne NIS2-kravene med de krav, man kender i et ledelsessystem?
    Ja! Med det nye NIS2-direktiv bliver virksomhederne forpligtet til at have en politik, en metode og til løbende at evaluere deres informationssikkerhed
    med en fast frekvens. Derfor kan man kalde det, som nu kræves, et de facto ledelsessystem. Virksomhederne skal implementere noget, der svarer til et
    ledelsessystem. Og der er jo ingen grund til, at man ”opfinder” sit eget ledelsessystem, når der findes et rammeværk, som allerede bruges af tusindvis af andre virksomheder, og som ovenikøbet kan certificeres, så man også kan dokumentere over for omverdenen, at man overholder kravene.
  5. Hvordan kan man bruge ISO 27001 til at implementere NIS2-kravene?
    Med kravene om ledelsesforankring, risikostyring, kontrol med processer og leverandører og ikke mindst evauering af indsatsen, giver det rigtig god mening at arbejde med et ledelsessystem, når det gælder NIS2. Til ISO 27001 standarden hører der en implementeringsvejledning, som hedder ISO 27002, den indeholder vejledning til, hvordan samtlige NIS2 krav imødekommes på en meget konkret og operationel måde. Hvis man arbejder med ISO 27001, overholder man lovgivningen. Og har man allerede et andet ledelsessystem baseret på fx ISO 9001, er man også rigtig langt. Så det giver rigtig god mening.

Sådan har andre forberedt sig på NIS2

Faren for et GDPR-lignende kaos når NIS2 rammer Danmark er overhængende. Men det kaos kan man heldigvis undgå, hvis man tilrettelægger sit arbejde med informationssikkerhed efter ISO 27001 standarden, som Københavns Lufthavn og Vejen Forsyning har gjort.

Københavns Lufthavn: Vi er klar til NIS2

Københavns Lufthavn har allerede fået et gevaldigt forspring, når det gælder
implementering af ny lovgivning via et ledelsessystem. Som en del af transportbranchen blev lufthavnen nemlig allerede i 2018 pålagt at leve op til de krav, der indgik i det første NIS-direktiv og valgte i den forbindelse at implementere ISO 27001, som de i dag er certificeret efter.

”Ny lovgivning kan trække tænder ud, hvis man ser det som et vilkår, der bare skal overstås. Vi valgte i stedet at få implementeret et ledelsessystem, fordi det er et ret cool værktøj. Vi benyttede lejligheden til at optimere vores systemer og få etableret dem, vi manglede, så vi sikrede os, at vi er helt up to date. Det er den approach, vi har taget,” siger Mette Andreasen, IT Compliance Manager i Københavns Lufthavn.

Certificeringen efter ISO 27001 betyder, at Københavns Lufthavn nu føler sig helt klar til NIS2-direktivet. ”Vi står meget skarpere, efter vi har fået implementeret ledelsessystemet og har været processen igennem. Vi er klar til NIS2 og byder det velkommen – for os er det bare mere af alt det gode, vi er i gang med. Det er bare mere af det samme – vi er inde i gamet,” siger Mette
Andreasen.

Vejen Forsyning: Et certifikat forpligter

Vejen Forsyning er en af de virksomheder, der allerede er i gang med at arbejde efter ISO 27001 som følge af kravene i NIS2-direktivet. Virksomheden er certificeret efter ISO 22000 for fødevaresikkerhed og ved derfor allerede en del om ledelsessystemer.

”Vi foregriber begivenhederne i forbindelse med NIS2-direktivet, der kommer til at omfatte spildevand og vandforsyninger. For os er det vigtigt, at det bliver
en naturlig del af vores hverdag. Derfor giver det god mening at integrere det i vores eksisterende system. Og med Harmonized Structure er det nemt,” siger Helen Brinch Stage, der er Projekt- og kvalitetsleder i Vejen Forsyning.

ViewPoint

Indsigt fra vores globale undersøgelser.

Nyhedsbrev

Tilmeld dig og modtag vores nyhedsbreve.