Gemt

NIS2 skal på dagsordenen på både direktionsgangen og i bestyrelsen

Danske virksomhedsledere kan pådrage sig personlige sanktioner, hvis de nye krav til informationssikkerhed ikke overholdes

Nyhed

27. marts 2023

NIS2-direktivet skal implementeres i dansk lov og har til formål at sikre et ensartet højt sikkerhedsniveau i de sektorer, der betegnes enten som ”vigtige” eller ”væsentlige” for at vores samfund kan fungere. I forhold til det første NIS-direktiv, omfattes en række nye sektorer bl.a. fødevaresektoren og dele af detailhandlen m.fl.

Sammenlignet med det første NIS-direktiv er en af de mest markante ændringer, at der indføres mulighed for at bortvise personer i ledelsen hos virksomheder, der ikke lever op til direktivets krav, så de kan stilles direkte til ansvar. Derudover er der et krav om ledelsesforankring af informationssikkerhedsarbejdet, hvilket bl.a. indebærer, at ledelsen skal være bekendte med både direktivets krav og den risikostyring, virksomheden har implementeret.

Sådan kommer du i gang

Som topleder er det altså dit ansvar at finde ud af, hvordan I står som virksomhed ift. NIS2-direktivet. Sådan kommer du i gang med 5 skridt:

Beslut hvor i organisationen og hos hvem arbejdet med NIS2 skal forankres. Mange af de tiltag, der skal implementeres, vedrører risikovurdering, sikkerhedsforanstaltninger m.v., så et naturligt sted er hos IT-sikkerhedschefen.
Stil krav om at de tiltag, der følger af NIS2, og som bliver tydeliggjort i takt med at myndighederne får skrevet vejledninger på området, bliver indarbejdet i organisationens eksisterende sikkerheds- og governance framework, så der ikke laves dobbeltarbejde og så tiltagene hænger sammen.
Der skal tildeles ressourcer til arbejdet. Sørg for at nøglemedarbejdere har eller får de rette kompetencer og får de ressourcer, som skal bruges for at sikre compliance. De foranstaltninger, der skal implementeres som følge af NIS2 gavner hele organisationens sikkerhed – også set fra aktionærernes perspektiv. Sørg også for passende awareness i hele organisationen.
Få en beslutningsproces på plads, så det på direktørniveau besluttes, hvilke konkrete tiltag, der skal iværksættes i hvilken rækkefølge. Beslutningsprocessen skal også bruges til at konkludere, hvis nogle af de tiltag, som indstilles fra den NIS2-ansvarlige, ikke prioriteres, og ledelsen dermed accepterer en compliancerisiko.
Foretag løbende audit som sikrer, at organisationen efterlever de foranstaltninger, som iværksættes og dermed sikrer, at foranstaltningerne har den effekt, som forventes. Sørg for mindst årligt at få rapporteret fremskridt til topledelsen.

Frist for virksomhederne til at leve op til de nye krav er d. 18. oktober 2024 – det er om lang tid, men det kommer til at være en krævende proces, hvor der både skal afsættes tid og penge. De nye krav kan give stor værdi i danske virksomheder ved at løfte sikkerhedsniveauet og gøre virksomhederne mere modstandsdygtige overfor cyberangreb, men det har sin pris. Få virksomheder ved i dag, hvor meget de egentlig investerer i informationssikkerhed, men der skal langt de fleste steder bruges flere penge. Det kan være en god anledning til at få et overblik over, hvor meget man som virksomhed i dag bruger på området.

Kædeansvar kan blive en udfordring, fordi kravet om leverandørsikkerhed betyder, at de omfattede virksomheder skal sikre, at deres vigtige leverandører – fx it-leverandører – også lever op til direktivets krav. Derfor kan mange danske virksomheder stå i den situation, at en af deres kunder er omfattet af direktivet og de dermed også er omfattet, hvilket kan komme som en overraskelse, når pågældende kunde pludselige kommer og stiller spørgsmål til, om underleverandøren er bekendt med og overholder direktivets krav.

Det er en proces, der kan kræve både tid og ressourcer, og Dansk Erhverv opfordrer derfor berørte virksomheder til at igangsætte dette arbejde hurtigst muligt.

Mapping af rammeværktøjer og standarder på EU-niveau

Som leder bør du allerede nu rådføre dig med sikkerhedsansvarlige internt og eventuelle rådgivere, I har tilknyttet jeres arbejde med informationssikkerhed, og få klarhed over, om virksomheden har en plan for at leve op til kravene i NIS2. Som et led i dette arbejde kan det være en fordel at undersøge, hvilke relevante standarder og certificeringer, I allerede bruger – fx ISO27001. Derudover kan I som virksomhed overveje at bruge D-mærket, hvis krav er lavet til at sikre compliance minimumskravene i NIS2-direktivet.

Hvad kommer der til at ske nu?

Dansk Erhverv afholder en række sektorspecifikke medlemsmøder om NIS2-direktivet i 2023. Dansk Erhverv bistår gerne med kontakt til relevante sektormyndigheder.

Artikel 21

Uddrag af NIS2-direktivet fra Lovtidende:

Foranstaltninger til styring af cybersikkerhedsrisici

Stk. 1

Medlemsstaterne sikrer, at væsentlige og vigtige enheder træffer passende og forholdsmæssige tekniske, operationelle og organisatoriske foranstaltninger for at styre risiciene for sikkerheden i net- og informationssystemer, som disse enheder anvender til deres operationer eller til at levere deres tjenester, og for at forhindre hændelser eller minimere deres indvirkning på modtagere af deres tjenester og på andre tjenester.

Under hensyntagen til det aktuelle teknologiske stade og i givet fald til relevante europæiske og internationale standarder samt gennemførelsesomkostningerne skal de i første afsnit omhandlede foranstaltninger tilvejebringe et sikkerhedsniveau i net- og informationssystemer, der står i forhold til risiciene. Ved vurderingen af proportionaliteten af disse foranstaltninger tages der behørigt hensyn til graden af enhedens eksponering for risici, enhedens størrelse og sandsynligheden for hændelser og deres alvor, herunder deres samfundsmæssige og økonomiske indvirkning.

Stk. 2

De i stk. 1 omhandlede foranstaltninger baseres på en tilgang, der omfatter alle farer og sigter på at beskytte net- og informationssystemer og disse systemers fysiske miljø mod hændelser, og mindst omfatter følgende:

Politikker for risikoanalyse og informationssystemsikkerhed
Håndtering af hændelser
Driftskontinuitet, såsom backup-styring og reetablering efter en katastrofe, og krisestyring
Forsyningskædesikkerhed, herunder sikkerhedsrelaterede aspekter vedrørende forholdene mellem den enkelte enhed og dens direkte leverandører eller tjenesteudbydere
Sikkerhed i forbindelse med erhvervelse, udvikling og vedligeholdelse af net- og informationssystemer, herunder håndtering og offentliggørelse af sårbarheder
Politikker og procedurer til vurdering af effektiviteten af foranstaltninger til styring af cybersikkerhedsrisici
Grundlæggende cyberhygiejnepraksisser og cybersikkerhedsuddannelse
Politikker og procedurer vedrørende brug af kryptografi og, hvor det er relevant, kryptering
Personalesikkerhed, adgangskontrolpolitikker og forvaltning af aktiver
Brug af løsninger med multifaktorautentificering eller kontinuerlig autentificering, sikret tale-, video- og tekstkommunikation og sikrede nødkommunikationssystemer internt i enheden, hvor det er relevant.

{{title}}

{{name}}

{{title}}

{{subCard.title}}

{{title}}

{{newsletter.name}}

{{title}}

{{Headline}}

{{fetchFailed}}

{{title}}

Generer URL til avanceret søgefiltrering her

Resultat:

Anchor

Søgetekst

Fra & Til

Filtrer

{{filterGrp.label}}

{{title}}

{{filter.label}}

{{data.labels.headline}}

{{data.labels.headline}}

Generer URL til søgefiltrering her

Resultat:

Anchor

Filter

Segmenter

{{CategoryTitle(segmentGroup[0])}}

{{SelectedSpeaker.name}}

{{SelectedPerson.name}}

{{labels.error}}

{{labels.noResults}}

{{labels.error}}

{{labels.noResults}}

{{subCard.title}}

{{title}}

{{data.labels.title}}

{{data.affiliation.title}}

{{ProfileSection.title}}

{{CompanyUnionTitle}}

{{memberType.receiptTitle}}

{{headline}}

{{textLabels.title}}

{{textLabels.errorLabel}}

{{textLabels.successTitle}}

{{item.headLine}}

{{data.headline}}

{{data.card.title}}

{{data.card.name}}

{{title}}

{{data.title}}

{{data.title}}

{{data.successHeadline}}

{{item.title}}

{{item.title}}

{{item.text}}

{{item.text}}

{{submitErrorLabel}}

{{textLabels.successLabel}}

{{textLabels.newsletterCheckboxesErrorLabel}}

{{textLabels.title}}

{{textLabels.errorLabel}}

{{textLabels.partialErrorLabel}}

{{textLabels.successLabel}}

{{data.title}}

{{title}}

{{item.title}}

{{speaker.name}}

{{item.title}}

{{speaker.name}}

{{data.title}}

{{data.headline}}

{{errorTitle}}

{{noResultsTitle}}

{{title}}

{{item.title}}

{{item.title}}

{{data.headline}}

{{data.headline}}

{{data.headline}}

{{data.labels.noEvents}}