Kommissionen har udvidet anvendelsesområdet for det tidligere NIS-direktiv, som betyder, at endnu flere sektorer nu opfattes som kritisk infrastruktur. Derudover stilles der skærpede krav til de virksomheder, der leverer produkter og services til kritisk infrastruktur. Det betyder også, at langt flere virksomheder vil skulle forholde sig til direktivet for at finde ud af, om man er omfattet af kravene. NIS2-direktivet er endnu ikke blevet implementeret i dansk ret, hvilket betyder, at vi ikke kender de specifikke krav, som danske virksomheder og organisationer vil skulle leve op til. NIS2-direktivet indeholder dog nogle minimumskrav, som man allerede nu kan forberede sig på.
Det oprindelige NIS-direktiv blev vedtaget i 2016 og var den første fælles EU-lovgivning på cybersikkerhedsområdet. Direktivet blev vedtaget for at sikre et højt fælles sikkerhedsniveau for net- og informationssystemer i hele EU. Ifølge Europa-Kommissionen har NIS-direktivet ført til betydelige fremskridt ift. EU’s samlede modstandsdygtighed overfor cybertrusler. Men med et stigende behov for en øget modstandsdygtighed i EU og et behov for et ensartet, højere niveau for cybersikkerhed på tværs af medlemslandene, blev det foreslået at skærpe direktivet yderligere.
Det nye NIS2-direktiv medfører minimumskrav for cyber- og informationssikkerhed i hele EU for alle virksomheder og organisationer, som varetager kritiske funktioner i samfundet. Ambitionen er at øge cybersikkerhedsniveauet i EU på længere sigt gennem en ensrettet implementering af kravene.
Direktivet sætter skærpet fokus på cybersikkerhed i forsyningskæder ud fra erkendelsen af, at digitaliseringen har medført, at et cyberangreb ikke kun har konsekvenser for de direkte berørte, men påvirker hele forsyningskæden. Og det kan potentielt resultere i vidtrækkende og langvarige negative konsekvenser på tværs af hele det indre marked.
Ambitionen med NIS2 er desuden at øge kravene til håndhævelse af reglerne og ensrette sanktionerne i hele EU. Derudover er der i det nye direktiv fokus på den ledelsesmæssige forankring, hvilket konkret betyder, at ledelsen skal være bekendt med organisationens risikostyringsindsats, lige så vel som den skal have godkendt de implementerede foranstaltninger samt have tilstrækkelige kompetencer til at forstå og vurdere cybersikkerhedsrisici.
De sektorer, der er omfattet af direktivet, bliver klassificeret på baggrund af deres betydning og opdelt i henholdsvis væsentlige og vigtige enheder (artikel 3). Kategorisering af virksomhederne påvirker, hvordan de bliver underlagt bl.a. sikkerhedskrav, sanktionering og tilsynsføring. I NIS2-direktivet bilag 1 og 2 finder man en oversigt over sektorer af særlig kritisk betydning (energi, transport, bankvirksomheder, finansielle markedsinfrastrukturer, sundhed, drikkevand, spildevand, digital infrastruktur, forvaltning af IKT-tjenester, offentlig forvaltning og rummet) samt andre kritiske sektorer (post- og kurertjenester, affaldshåndtering, fremstilling, produktion og distribution af kemikalier, produktion, tilvirkning og distribution af fødevarer, fremstilling, digitale udbydere og forskning).
Som virksomhed eller organisation er det første skridt at finde ud af, hvorvidt man er omfattet af de nye krav i NIS2. Det bliver fastlagt endeligt i den danske implementering af direktivet, men for nogle virksomheder og sektorer står det allerede nu klart på baggrund af direktivets minimumskrav.
Som udgangspunkt gælder NIS2-direktivet ikke for mikrovirksomheder og små virksomheder medmindre de har en høj sikkerhedsrisikoprofil.
NIS2-direktivet opfordrer til at anvende internationale, anerkendte standarder (artikel 21 og 25).
ISO/IEC 27001 Ledelsessystemer for informationssikkerhed - Krav er en anerkendt, international ledelsesstandard for informationssikkerhed, som vil være en oplagt vej til efterlevelse af minimumskravene i NIS2-direktivet. Standarden tilbyder en struktureret tilgang til at arbejde med informationssikkerhed, og en række af de minimumskrav der er nævnt i NIS2, bliver konkretiseret med ISO/IEC 27001, samt med standarden ISO/IEC 27002 Foranstaltninger til informationssikkerhed, der indeholder en vejledning til kravene i ISO/IEC 27001.
ISO/IEC 27001 er en ledelsesstandard, der har fokus på den ledelsesmæssige forankring, hvorfor den også af den grund er et godt værktøj ift. NIS2, hvor der netop stilles krav til ledelsens ansvar.
Standarden er derfor et godt udgangspunkt for at arbejde med NIS2, da den netop behandler emner som hændelseshåndtering- og rapportering, politikker for informationssikkerhed og risikoanalyse samt cyberhygiejnepraksisser, som er en del af minimumskravene.
Alle virksomheder og organisationer uanset størrelse kan have glæde af at arbejde med ISO/IEC 27001 og få skabt struktur på deres processer for informationssikkerhed. Standarden læses og implementeres i den kontekst, der giver mening for den enkelte organisation. Det er også muligt at blive certificeret i ISO/IEC 27001, men det er ikke et krav for at arbejde med standarden.
Et af de væsentligste krav i NIS2 omhandler risikostyring. Og netop af den årsag ser flere og flere virksomheder allerede i retning af ISO/IEC 27000-serien, da disse standarder har en risikobaseret tilgang. Standarderne er velafprøvede værktøjer, der kan hjælpe virksomhederne med at dokumentere deres risikostyringspraksis og hjælpe med at identificere de passende foranstaltninger, der skal implementere og rammesætte risikostyringsprocessen fra start til slut. Her kan standarden ISO/IEC 27005 Vejledning i styring af informationsrisici være en god hjælp, da den netop er en vejledning i risikostyring
De mest relevante standarder i ISO/IEC 27000-serien ift. NIS2 arbejdet:
Udover standarderne i ISO/IEC 27000-serien, kan det også være oplagt at kigge nærmere på standarden ISO 22301 Business continuity management-systemer - Krav. I NIS2 er der stort fokus på at sikre processer for forretningskontinuitet, sikkerhed i forsyningskæden og disaster recovery, og her kan standarden være et godt sted at hente inspiration til det arbejde.
Øgede krav til risikostyring har en central rolle i det nye NIS2 direktiv. Her præciseres det, at passende foranstaltninger som minimum indebærer, at virksomhederne udarbejder politikker for informationssikkerhed og risikoanalyse. Minimumskravene for sikkerhedsforanstaltninger er udpenslet i direktivets artikel 21, og omfatter:
Dette kursus stiller skarpt på topledelsens rolle og ansvar for informationssikkerhed – blandt andet i forbindelse med implementeringen af NIS2. Kurset sikrer viden samt vurdering af cybersikkerhedsrisici, herunder processer for styring af it- og informationssikkerhed.
På dette to-dages kursus i informationssikkerhed får du en detaljeret gennemgang af EU’s NIS2-direktiv, hvor vi samtidigt har fokus på, hvordan organisationer kan leve op til direktivet i praksis med ISO/IEC27001 - ledelsessystem for Informationssikkerhed. Bl.a. gennemgår vi de forskellige faser af implementeringen af et ledelsessystem for informationssikkerhed, hvor du får nærmere indblik i de områder, hvor NIS2 kræver ekstra tiltag.