NIS2-direktivet

Fra juli 2025 vil skærpede krav og flere regler blive virkelighed for mange virksomheder som følge af det nye NIS2-direktiv.

Køb standardpakke - NIS2 Se vores kursus i NIS2

Risikoen fra digitale trusler betyder, at cyber- og informationssikkerhed er rykket højt op på dagsordenen i EU.

Det nye Net- og Informationssikkerhedsdirektiv (NIS2-direktivet) skal bidrage til at styrke cyber- og informationssikkerheden på tværs af EU's medlemslande.

Direktivet er en opdatering af det oprindelige NIS direktiv, som blev indført i 2016, og er udviklet som en respons på den stigende trussel mod europæiske informationssystemer og -netværk. Direktivet betyder at en række sektorer i medlemslandene fra juli 2025 vil blive underlagt skærpede krav til deres håndtering af cyber- og informationssikkerhed. Det gælder sektorer med samfundskritisk infrastruktur, der blandt andet omfatter sektorer som energi, transport, sundhed og finans m.fl., og hvor et nedbrud eller et angreb kan have alvorlige konsekvenser for samfundet.

Kontakt

Berit Aadal
Berit Aadal Chefkonsulent | Chief Consultant
Standardisering | Digital & Bæredygtighed
E: baa@ds.dk
T: 39 96 62 96

Hvilken betydning får NIS2-direktivet?

Med NIS2 følger en række krav:

  • Flere sektorer er kategoriseret som (samfunds)kritisk infrastruktur. Scopet for direktivet er udvidet (ift. det tidligere NIS-direktiv) til at omfatte endnu flere sektorer, der nu også opfattes som kritisk infrastruktur – f.eks. fødevareproduktion og affaldshåndtering
  • Øget fokus på sikkerhed i forsyningskæder. Den øgede digitalisering betyder, at et cyberangreb mod én virksomhed eller én sektor ikke kun kan isoleres til de direkte berørte, men også sætter sine spor i hele forsyningskæden, hvilket potentielt kan resultere i vidtrækkende og langvarige negative virkninger i leveringen af tjenester på tværs af hele det indre marked
  • Flere krav til risikostyring der betyder, at virksomheder og organisationer skal træffe passende sikkerhedsforanstaltninger. Minimumskravene for sikkerhedsforanstaltninger er udpenslet i direktivets artikel 21 og omfatter bl.a. politikker for risikoanalyse, håndtering af hændelser mm.

 

 

  • Afrapportering og underretningspligt for de virksomheder og organisationer der er omfattet af NIS2. Mistanke om væsentlige brud på sikkerheden skal indrapporteres til myndighederne indenfor 24 timer.
  • Fokus på ledelsesmæssig forankring af virksomhedens/organisationens risikostyringsindsats og sikkerhedsforanstaltninger
  • Virksomheder og organisationer skal træffe passende sikkerhedsforanstaltninger for at beskytte deres informationssystemer og netværk mod angreb og nedbrud
  • Sanktionsmuligheder og store bøder hvis enheder eller sektorer ikke lever op til kravene om nødvendige foranstaltninger eller underretningspligt.

Hvordan kan standarder hjælpe jer i gang med arbejdet med NIS2?

Et godt udgangspunkt for arbejdet med NIS2 er standarder. Det fremgår også af direktivets artikel 25, hvor medlemsstaterne tilskynder til at benytte europæiske og internationale standarder og tekniske specifikationer for at gennemføre de minimumskrav, der er nævnt i direktivets artikel 21.

Standarder er et rammeværktøj, der kan hjælpe med at strukturere de processer, der er nødvendige for at imødekomme visse krav i NIS2-direktivet. ISO/IEC 27001 er en anerkendt ledelsesstandard for informationssikkerhed, som er bredt anvendt i hele verden. Standarden er en struktureret tilgang til at arbejde med informationssikkerhed og dækker emner som risikostyring, ledelsesforankring og sikkerhedsforanstaltninger, som NIS2 har fokus på.

Udover ISO/IEC 27001 findes der en række andre standarder i samme serie, som også rummer inspiration til arbejdet med NIS2. Særligt relevant er henholdsvis ISO/IEC 27002 og ISO/IEC 27005. ISO/IEC 27002 er en vejledning til foranstaltninger til informationssikkerhed. De virksomheder, der skal arbejde med NIS2, kan finde inspiration til deres arbejde med bl.a. hændelseshåndtering, basal cyberhygiejne og driftskontinuitet i denne standard, som uddyber implementering af førnævnte områder sammen med lang liste over øvrige sikkerhedsforanstaltninger. ISO/IEC 27005 er en vejledning til risikostyring og håndtering af informationssikkerhedsrisici. Da et af grundelementerne i NIS2 er den risikobaserede tilgang, vil det derfor være oplagt at kigge i ISO/IEC 27005, der hjælper virksomheder og organisationer med at etablere sådan en proces for risikostyring.

Standarder er ikke kun en hjælp til at komme i gang med NIS2, men er også en oplagt mulighed for at komme på forkant med sikkerhedsarbejdet helt generelt og blive mere modstandsdygtig overfor cybertrusler.

Bliv klar til NIS2 med ISO 27001 - Diplomkursus

På dette to-dages kursus i informationssikkerhed får du en detaljeret gennemgang af EU’s NIS2-direktiv, hvor vi samtidigt har fokus på, hvordan organisationer kan leve op til direktivet i praksis med ISO/IEC27001 - ledelsessystem for Informationssikkerhed. Bl.a. gennemgår vi de forskellige faser af implementeringen af et ledelsessystem for informationssikkerhed, hvor du får nærmere indblik i de områder, hvor NIS2 kræver ekstra tiltag.



NIS2 for ledelsen – grundlæggende viden om cyber- og informationssikkerhed

Dette kursus stiller skarpt på topledelsens rolle og ansvar for informationssikkerhed – blandt andet i forbindelse med implementeringen af NIS2. Kurset sikrer viden samt vurdering af cybersikkerhedsrisici, herunder processer for styring af it- og informationssikkerhed.

FAQ om NIS2-direktivet

Hvad er NIS2-direktivet

Det nye Net- og Informationssikkerhedsdirektiv (NIS2-direktivet) skal bidrage til at styrke cyber- og informationssikkerheden på tværs af EU's medlemslande.

Direktivet er en opdatering af det oprindelige NIS-direktiv, som blev indført i 2016 som en respons på den stigende trussel mod europæiske informationssystemer og -netværk. NIS2 er et direktiv, der primært fastsætter krav for cyber- og informationssikkerhed i forhold til kritisk infrastruktur.

Hvorfor er NIS2 kommet?

Det primære formål med NIS2-direktivet er at imødekomme de voksende og skiftende trusler inden for cybersikkerhed. NIS2-direktivet indfører minimumskrav for cyber- og informationssikkerhed i hele EU for alle de virksomheder og organisationer, der varetager kritiske funktioner i samfundet og dermed styrke og modernisere EU's samlede forsvar mod cybertrusler.

Hvad er forskellen på NIS2 og NIS1?

Hovedforskellene mellem NIS1 og NIS2, som er direktiver om netværks- og informationssystemer, kan tilskrives udvidelsen og fordybelsen af deres rækkevidde og detaljer. NIS1 markerede EU's indledende skridt mod at skabe en ensartet sikkerhedsstandard for netværks- og informationssystemer på tværs af EU. NIS2 bygger videre på denne fundamentale lovgivning, både udvidende og opdaterende dens indhold. 

Hvem skal opfylde kravene i NIS2?

En lang række sektorer i EU vil fra juli 2025 blive underlagt skærpede krav til deres håndtering af cyber- og informationssikkerhed i NIS2-direktivet. Det gælder primært sektorer med samfundskritisk infrastruktur såsom energi, transport, sundhed og finans m.fl., hvor et nedbrud eller et angreb kan have alvorlige konsekvenser for samfundet.

Hvordan kan man bruge standarder til at opfylde NIS2?

Et godt udgangspunkt for at opfylde NIS2-direktivet er standarder. Det fremgår i direktivets artikel 25, hvor medlemsstaterne tilskyndes til at benytte europæiske og internationale standarder og tekniske specifikationer for at gennemføre de minimumskrav, der er nævnt i direktivets artikel 21.

Standarder er et rammeværktøj, der kan hjælpe med at strukturere de processer, der er nødvendige for at imødekomme visse krav i NIS2-direktivet. ISO/IEC 27001 er en anerkendt ledelsesstandard for informationssikkerhed, som er bredt anvendt i hele verden.

Mere viden om informationssikkerhed

ISO 27001 - Informationssikkerhed

ISO/IEC 27001

ISO/IEC 27001 - Informationssikkerhed

ISO 27001 er en international ledelsesstandard for informationssikkerhed. Standarden er et styringsværktøj, der hjælper virksomheder til at beskytte værdifulde informationer - herunder persondata - på en sikker og troværdig måde.

ISO/IEC 27002 – Foranstaltninger til informationssikkerhed

ISO/IEC 27002

ISO/IEC 27002 – Foranstaltninger til informationssikkerhed

ISO/IEC 27002 er en vejledning i at udvælge foranstaltninger i forbindelse med implementering af et ledelsessystem for informationssikkerhed.

ISO/IEC 27005 – Vejledning i håndtering af informationssikkerhedsrisici

ISO/IEC 27005

ISO/IEC 27005 – Vejledning i håndtering af informationssikkerhedsrisici

ISO/IEC 27005 er en vejledende standard, der hjælper organisationer med at etablere en proces for risikostyring.

ISO/IEC 27701 Privatlivsbeskyttelse

ISO/IEC 27701

ISO/IEC 27701 Privatlivsbeskyttelse

Standarden for privatlivsbeskyttelse, ISO/IEC 27701, er et ledelsesværktøj, som giver indblik i de arbejdsgange og foranstaltninger, som organisationer bør etablere for at opnå en passende beskyttelse af personoplysninger.