INTRODUKTION
I en tid hvor teknologi spiller en stadig større rolle i vores hverdag, er cybersikkerhed blevet en altafgørende faktor og risiko for både organisationer og enkeltpersoner. De seneste år har vist, at cyberangreb kan have store konsekvenser for de berørte enheder, herunder tab af data, finansielle tab og forringet omdømme. Derfor er det vigtigere end nogensinde før at beskytte vores digitale systemer mod cybertrusler.
NIS2 har til formål at sikre, at den stærkt stigende digitalisering af samfundet omfattes af tilstrækkelig sikkerhed med henblik på at forbedre det indre markeds funktioner i den Europæiske Union (EU). Formålet er altså på samfundsmæssigt plan, og skal bidrage til at sikre samfundets, og dermed vores alles, interesser.
HVAD ER NIS2?
NIS2 er en opdateret version af det oprindelige NIS-direktiv fra 2016, der blev vedtaget for at styrke EU's cybersikkerhed (herunder de enkelte medlemsstaters) samt i sidste ende for at beskytte EU-borgernes digitale rettigheder og friheder. Det overordnede formål med direktivet er at forbedre cybersikkerheden i EU ved at stille krav til beskyttelsen af digitale tjenester og produkter, som har samfundsmæssig betydning.
NIS2 bevæger sig i samspillet mellem jura og IT, hvor fokus skal være på at integrere tekniske- og juridiske aspekter af cybersikkerhed med henblik på at opnå den størst mulige værdi.
NIS2 skal håndhæves fra den 18. oktober 2024, men det anbefales, at jeres organisation allerede nu begynder at forberede jer, så NIS2 ikke bliver en gentagelse af GDPR.
NIS2 er et minimumsdirektiv, hvilket betyder, at medlemsstaterne i EU kan vælge at skærpe kravene til den nationale cybersikkerhed. Hvordan NIS2 bliver implementeret i dansk lovgivning er stadig uklart, men det er dog allerede muligt at forberede sig.
HVAD ER NYT?
NIS2 øger samarbejdet mellem medlemsstaterne og opretter et netværk af forbindelsesvirksomheder for cyberkriser.
SKÆRPEDE SIKKERHEDSKRAV: Stiller skærpede sikkerhedskrav til risikovurderinger, implementering af sikkerhedsforanstaltninger og etablering af krisestyringsplaner.
STÆRKERE KONTROL OG HÅNDHÆVELSE: Giver udvidet adgang til stærkere kontrol og håndhævelse, herunder inspektioner og kontroller samt forøget mulighed for sanktioner og bøder. Som en tilføjelse i NIS2 kan ledelsen blive holdt personligt ansvarlige for lovbrud.
UDVIDET KRAV TIL RAPPORTERING: Stiller strengere krav til rapportering ved sikkerhedsbrud
UDVIDER ANVENDELSESOMRÅDET: Udvider anvendelsesområdet for reglerne til at omfatte en bredere vifte af organisationer, herunder digitale platforme, cloud-tjenester og online markedspladser.
FORSYNINGSKÆDESIKKERHED: Indfører krav om at sikre passende tekniske, operationelle og organisatoriske foranstaltninger, som også gælder de omfattedes organisationers direkte leverandører og tjenesteudbydere (forsyningskædesikkerhed).
HVEM ER OMFATTET AF NIS2
NIS2 omfatter en bred vifte af organisationer (offentlige og private), der leverer digitale tjenester og produkter i EU, herunder digitale serviceudbydere, offentlige myndigheder, transportsektoren, sundhedssektoren og finansielle tjenesteydere. Som udgangspunkt kræver det, at jeres organisation beskæftiger mere end 50 personer OG har en årlig omsætning eller balance på mere end 10 mio. euro samt er omfattet af nedenstående sektorer.
HVAD KRÆVER NIS2 AF DE OMFATTEDE ORGANISATIONER
NIS2 kræver, at alle berørte organisationer skal træffe foranstaltninger for at sikre deres netværks- og informationssystemer samt rapportere om alvorlige sikkerhedsbrud til de nationale myndigheder. Det betyder, at organisationerne skal have en strategi og en handlingsplan for cybersikkerhed på plads og regelmæssigt gennemføre risikovurderinger og test af sikkerheden.
RAPPORTERING
NIS2 stiller en række rapporteringskrav, udover at der skal sendes meddelelse til modtagerne af en tjeneste ved et væsentligt “incident”. Denne rapportering skal indgives til Computer Security Incident Response Team (CSIRT’en) eller den kompetente myndighed.
KRAV TIL RAPPORTERING
MINIMUMSFORANSTALTNINGER
Der er fortsat i NIS2 krav om, at der skal træffes passende og forholdsmæssige tekniske og organisatoriske sikkerhedsforanstaltninger, som skal sikre beskyttelse af net- og informationssystemer, herunder disses fysiske miljøer mod “incidents”.
Kravene er i NIS2 blevet udvidet og omfatter nu som minimum:
- Politikker for risikoanalyse og informationssystemsikkerhed.
- Håndtering af “incidents”
- Driftskontinuitet, såsom backup-styring og reetablering efter en katastrofe, og krisestyring.
- Forsyningskædesikkerhed (forholdene til direkte leverandører eller tjenesteudbydere).
- Sikkerhed i forbindelse med erhvervelse, udvikling og vedligeholdelse af net- og informationssystemer.
- Politikker og procedurer til vurdering af effektiviteten af foranstaltninger til styring af cybersikkerhedsrisici.
- Grundlæggende cyberhygiejnepraksisser og cybersikkerhedsuddannelse.
- Politikker og procedurer for kryptografi og kryptering.
- Personalesikkerhed, adgangskontrolpolitikker og forvaltning af aktiver.
- Brug af sikre løsninger for interne kommunikationssystemer.
HVORDAN KAN NIS2 HJÆLPE DIN ORGANISATION?
NIS2 kan bidrage til at forbedre en række områder i jeres organisation udover at sikre overholdelse af lovgivningen og dermed at undgå eventuelle sanktioner. Eksempler på dette inkluderer:
BEDRE RISIKOSTYRING: Øget fokus på risikostyring kan bidrage til hurtigere at identificere potentielle trusler og sårbarheder og dermed gøre organisationen i stand til at foretage proaktive foranstaltninger. En stærk sikkerhedsprofil kan bidrage til at opbygge tillid hos kunder og samarbejdspartnere og øge organisationens omdømme.
STYRKET SIKKERHED: Ved at implementere sikkerhedsforanstaltningerne omfattet i NIS2 kan organisationens kritiske infrastruktur beskyttes bedre mod cyberangreb, som kan føre til tab af data og beskadiget systemer.
BEDRE INCIDENT MANAGEMENT: Procedurer til håndtering af ”incidents” kan bidrage til, at organisationen kan reagere hurtigt på et “incident” og mindske dets påvirkning på organisationen. Dette kan også hjælpe med at begrænse skadevirkningen for kunder og samarbejdspartnere og opretholde deres tillid. Effektiv håndtering af “incidents” kan derudover føre til mindre økonomisk tab og kortere tid til genopretning, hvilket gavner organisationen på både kort og lang sigt.
KONKURRENCEFORDEL SOM LEVERANDØR: Som en del af NIS2 stilles der krav om forsyningskædesikkerhed, hvilket betyder, at det ikke er nok kun at have styr på den interne sikkerhed. Det skal derimod også sikres, at direkte leverandører til de omfattede organisationer efterlever et tilstrækkeligt sikkerhedsniveau. Ved at have tidligt fokus på NIS2 som leverandør, kan der derved opnås en konkurrencefordel.
ANBEFALING
NIS2 kræver fokus på tværgående forankring, som kan være yderst tids- og ressourcekrævende.
Vi anbefaler følgende proces som forberedelse:
Afklaring: Omfattet af NIS2
- Kritiske sektorer
- Leverandørstatus
- Gap-analyse
Identifikation: Driftskritiske aktiver
- Systemer
- Hardware
- Data
- Infrastruktur
Risikovurdering: Forretningsprocesser
- Intern/ekstern trusler
- Sandsynlighed
- Konsekvenser
- Prioritering
Implementering: Sikkerhedsforanstaltninger
- Tekniske løsninger
- Organisatoriske tiltag
- Træning og awareness
- Langsigtede planer
Overvågning: Rapportering og respons
- Systemer til detektering
- Hændelsesrapportering
- Onboarding af medarbejdere
- Løbende evaluering
4 GODE RÅD TIL NIS2 IMPLEMENTERING OG VEDLIGEHOLD
Hvis I er omfattet af NIS2, bør I starte med at identificere driftskritiske aktiver, herunder software, hardware, data og infrastruktur, der er afgørende for virksomhedens daglige drift og levere værdi til kunderne.
Dernæst bør organisationen lave en risikovurdering af forretningsprocesserne og prioritere sikkerhedsinitiativer og ressourcer mod de processer, der udgør de største risici for organisationen.
Efter at have identificeret og vurderet aktiver og forretningsprocesser skal organisationen udarbejde en plan for implementering og vedligeholdelse af passende sikkerhedsforanstaltninger. Det er også vigtigt at have systemer og planer på plads for overvågning og rapportering af hændelser.
Endelig anbefales det, at organisationer arbejder med cybersikkerhed i en cirkulær proces og forholder sig proaktivt til trusselsbilledet.
Idas Linkedin: Følg Ida her!
Peters Linkedin: Følg Peter her!
Nysgerring på flere artikler fra Trustworks? Se mere her!
Mere viden fra Trustworks? Følg os på Linkedin!