NIS 2-direktivet (Net- og Informationssikkerhedsdirektivet)

Baggrund og formål

Net- og Informationsdirektivet (NIS 2) bygger ovenpå det oprindelige NISdirektiv fra 2016, som var den første fælles EUlovgivning om cybersikkerhed, der havde til formål at sikre et højt, fælles sikkerhedsniveau for net og informationssystemer i hele EU.

Efterhånden som digitaliseringen har udviklet sig, og behovet for et ensartet og højere cybersikkerhedsniveau på tværs af medlemslandene er vokset, blev der fremsat forslag om at skærpe kravene – hvilket førte til NIS2direktivet.

NIS 2-direktivet udvider anvendelsesområdet i forhold til den tidligere version og medfører minimumskrav for cyber og informationssikkerhed for alle virksomheder og organisationer, der varetager kritiske funktioner i samfundet. Et særligt fokusområde er sikkerheden i forsyningskæderne, da cyberangreb i én del af kæden kan få vidtrækkende konsekvenser. Det betyder også, at langt flere virksomheder vil skulle forholde sig til direktivet for at finde ud af, om man er omfattet af kravene. Direktivet skærper yderligere håndhævelse, sanktioner og krav til ledelsens involvering, herunder ansvar for risikostyring og godkendelse af sikkerhedsforanstaltninger.

NIS 2-direktivet er implementeret i dansk ret og omtales NIS 2-loven. Læs mere om NIS 2 loven på SAMSIKs hjemmeside: https://samsik.dk/nis2/

Andre artikler i serien

Overblik over de nye krav fra NIS til NIS 2

Flere virksomheder og organisationer er omfattet: Private og offentlige enheder, der kvalificerer sig under definitionen mellemstore og store virksomheder, som leverer tjenester eller udfører aktiviteter i EU er omfattet af NIS 2. Da direktivet endnu ikke er blevet implementeret i dansk lovgivning, er det i øjeblikket uklart, hvilke virksomheder det præcist vil omfatte, herunder om det også inkluderer kommunerne.
Flere sektorer kategoriseres som kritisk infrastruktur: I det nye NIS 2 bliver endnu flere sektorer betegnet som kritisk infrastruktur og er dermed underlagt de nye krav. De nye sektorer er bl.a. fødevareproduktion og affaldshåndtering
Øget fokus på sikkerhed i forsyningskæder: Forsyningskæder ift. kritisk infrastruktur er omfattet, hvilket betyder at leverandører til kritisk infrastruktur med mere end 50 ansatte og en årlig omsætning på over 10 mio. euro er omfattet af kravene i NIS 2. (Bemærk at der i den danske NIS 2 lov står mere end 50 ansatte ELLER en årlig omsætning på over 10 mio. euro)
Strengere tilsynsforanstaltninger: De nationale myndigheder skal sørge for at føre et tilsyn med de såkaldte væsentlige enheder.
Flere sanktionsmuligheder: Hvis enheder eller sektorer ikke lever op til kravene om nødvendige foranstaltninger eller rapporteringspligt, har tilsynsmyndighederne sanktionsmuligheder i form af administrative bøder.
Underretningspligt på 24 timer: De virksomheder og organisationer, der er omfattet af NIS 2, er underlagt en underretningspligt, som betyder, at hændelser med mistanke om brud på sikkerheden skal indrapporteres indenfor 24 timer.
Større bøder: Bødeniveauet hæves i forbindelse med overtrædelser af NIS 2. Bøderne afhænger af en organisations type og størrelse.

Minimumskrav i NIS2

Øgede krav til risikostyring har en central rolle i det nye NIS 2 direktiv. Her præciseres det, at passende foranstaltninger som minimum indebærer, at virksomhederne udarbejder politikker for informationssikkerhed og risikoanalyse. Minimumskravene for sikkerhedsforanstaltninger er udpenslet i direktivets artikel 21, og omfatter:

Politikker for risikoanalyse og informationssikkerhed
Håndtering af hændelser
Driftskontinuitet (back-up) og krisestyring
Forsyningskædesikkerhed, herunder sikkerhedsrelaterede aspekter vedrørende forholdene mellem den enkelte enhed og dens direkte leverandører og tjenesteudbydere
Sikkerhed i forbindelse med erhvervelse, udvikling og vedligeholdelse af net- og informationssystemer, herunder håndtering og offentliggørelse af sårbarheder
Politikker og procedurer til vurdering af effektiviteten af foranstaltninger til styring af cybersikkerhedsrisici
Grundlæggende cyberhygiejnepraksisser og uddannelse i cybersikkerhed
Politikker og procedurer ift. brug af kryptografi og, hvor det er relevant, kryptering
Personalesikkerhed, politikker for adgangskontrol og forvaltning af aktiver
Brug af løsninger med multifaktorautentificering eller kontinuerlig autentificering, sikret tale-, video- og tekstkommunikation og sikrede nødkommunikationssystemer internt i enheden, hvor det er relevant.

Hvem gælder lovgivningen for?

NIS 2 direktivet omfatter en bred vifte af sektorer, som klassificeres i væsentlige og vigtige enheder på baggrund af deres betydning. Kategorisering af virksomhederne påvirker, hvordan de bliver underlagt bl.a. sikkerhedskrav, sanktionering og tilsynsføring. I NIS 2-direktivet bilag 1 og 2 finder man en oversigt over sektorer af særlig kritisk betydning (energi, transport, bankvirksomheder, finansielle markedsinfrastrukturer, sundhed, drikkevand, spildevand, digital infrastruktur, forvaltning af IKT-tjenester, offentlig forvaltning og rummet) samt andre kritiske sektorer (post- og kurertjenester, affaldshåndtering, fremstilling, produktion og distribution af kemikalier, produktion, tilvirkning og distribution af fødevarer, fremstilling, digitale udbydere og forskning).

Første skridt for en virksomhed eller organisation er at afklare, om man er omfattet af de nye krav. Som udgangspunkt gælder NIS 2-direktivet ikke for mikrovirksomheder og små virksomheder medmindre de har en høj sikkerhedsrisikoprofil.

Er du omfattet af NIS 2 loven skal du registrere din enhed på SAMSIKs hjemmeside: https://samsik.dk/nis2/registrering-nis2/

Kobling til standarder

NIS 2-direktivet tilskynder medlemsstaterne til at anvende internationale, anerkendte standarder som et centralt redskab til at efterleve kravene (artikel 21 og 25).

Her er især ledelsesstandarden for informationssikkerhed, ISO/IEC 27001, relevant, da standarden tilbyder en struktureret ledelsesforankret tilgang til informationssikkerhed, som stemmer overens med NIS 2’s risikobaserede tilgang. Standarden er et godt udgangspunkt for at arbejde med NIS 2, da den netop behandler emner som hændelseshåndtering- og rapportering, politikker for informationssikkerhed og risikoanalyse samt cyberhygiejnepraksisser, som er en del af minimumskravene.

ISO/IEC 27001 konkretiseres yderligere gennem ISO/IEC 27002, der giver vejledning i informationssikkerhedsforanstaltningerne, samt ISO/IEC 27005, som giver en metode til risikostyring, hvorfor de med fordel også kan anvendes.

Styrelsen for Samfundssikkerhed har i vejledningen til NIS 2-loven om foranstaltninger også nævnt en lang række relevante standarder som virksomheder og organisationer med fordel kan anvende som inspiration i deres arbejde med at efterleve NIS 2-kravene.

De mest relevante standarder i ISO/IEC 27000-serien ift. NIS2 arbejdet:

Serien IEC 62443

Standarderne i serien IEC 62443 er også oplagte inspirationskilder, da de beskæftiger sig med kritiske systemer.

Derudover kan ISO 22301 om forretningskontinuitet være et nyttigt supplement, da NIS 2 lægger vægt på beredskab, forsyningskædesikkerhed og evnen til at opretholde drift under cyberhændelser.

Standarder er ikke kun en hjælp til at komme i gang med NIS 2, men er også en oplagt mulighed for at komme på forkant med sikkerhedsarbejdet helt generelt og blive mere modstandsdygtig overfor cybertrusler.

NIS2 i praksis – med ISO/IEC 27001 som fundament for compliance

På dette diplomkursus får du overblik over NIS2-kravene i praksis, og du lærer, hvordan ISO/IEC 27001 kan bruges som en praktisk ramme til at styrke jeres informationssikkerhed og sikre compliance med den nye NIS2-lov.

Læs mere om kurset

NIS2 i kommuner - vejen til compliance med afsæt i ISO 27001

På dette todages kursus klæder vi kommunale ledere og nøglemedarbejdere på til at forstå, planlægge og realisere arbejdet med NIS 2-compliance. Vi giver indblik i, hvordan arbejdet kan inspireres af ISO/IEC 27001, og hvordan en pragmatisk tilgang gør det muligt at opnå højere sikkerhed, der er forankret i driften.