NIS2-direktivet (Net- og Informationssikkerhedsdirektivet)

Det nye Net- og Informationssikkerhedsdirektiv (NIS2) betyder, at alle EU’s medlemslande fra oktober 2024 bliver underlagt skærpede krav til cyber- og informationssikkerhed i forhold til kritisk infrastruktur.

Kommissionen har udvidet anvendelsesområdet for det tidligere NIS-direktiv, som betyder, at endnu flere sektorer nu opfattes som kritisk infrastruktur. Derudover stilles der skærpede krav til de virksomheder, der leverer produkter og services til kritisk infrastruktur. Det betyder også, at langt flere virksomheder vil skulle forholde sig til direktivet for at finde ud af, om man er omfattet af kravene.  NIS2-direktivet er endnu ikke blevet implementeret i dansk ret, hvilket betyder, at vi ikke kender de specifikke krav, som danske virksomheder og organisationer vil skulle leve op til. NIS2-direktivet indeholder dog nogle minimumskrav, som man allerede nu kan forberede sig på.

Baggrund og formål

Det oprindelige NIS-direktiv blev vedtaget i 2016 og var den første fælles EU-lovgivning på cybersikkerhedsområdet. Direktivet blev vedtaget for at sikre et højt fælles sikkerhedsniveau for net- og informationssystemer i hele EU. Ifølge Europa-Kommissionen har NIS-direktivet ført til betydelige fremskridt ift. EU’s samlede modstandsdygtighed overfor cybertrusler. Men med et stigende behov for en øget modstandsdygtighed i EU og et behov for et ensartet, højere niveau for cybersikkerhed på tværs af medlemslandene, blev det foreslået at skærpe direktivet yderligere.

Det nye NIS2-direktiv medfører minimumskrav for cyber- og informationssikkerhed i hele EU for alle virksomheder og organisationer, som varetager kritiske funktioner i samfundet. Ambitionen er at øge cybersikkerhedsniveauet i EU på længere sigt gennem en ensrettet implementering af kravene. 

Direktivet sætter skærpet fokus på cybersikkerhed i forsyningskæder ud fra erkendelsen af, at digitaliseringen har medført, at et cyberangreb ikke kun har konsekvenser for de direkte berørte, men påvirker hele forsyningskæden. Og det kan potentielt resultere i vidtrækkende og langvarige negative konsekvenser på tværs af hele det indre marked.

Ambitionen med NIS2 er desuden at øge kravene til håndhævelse af reglerne og ensrette sanktionerne i hele EU. Derudover er der i det nye direktiv fokus på den ledelsesmæssige forankring, hvilket konkret betyder, at ledelsen skal være bekendt med organisationens risikostyringsindsats, lige så vel som den skal have godkendt de implementerede foranstaltninger samt have tilstrækkelige kompetencer til at forstå og vurdere cybersikkerhedsrisici.

Hvem gælder lovgivningen for?

De sektorer, der er omfattet af direktivet, bliver klassificeret på baggrund af deres betydning og opdelt i henholdsvis væsentlige og vigtige enheder (artikel 3). Kategorisering af virksomhederne påvirker, hvordan de bliver underlagt bl.a. sikkerhedskrav, sanktionering og tilsynsføring. I NIS2-direktivet bilag 1 og 2 finder man en oversigt over sektorer af særlig kritisk betydning (energi, transport, bankvirksomheder, finansielle markedsinfrastrukturer, sundhed, drikkevand, spildevand, digital infrastruktur, forvaltning af IKT-tjenester, offentlig forvaltning og rummet) samt andre kritiske sektorer (post- og kurertjenester, affaldshåndtering, fremstilling, produktion og distribution af kemikalier, produktion, tilvirkning og distribution af fødevarer, fremstilling, digitale udbydere og forskning).

Som virksomhed eller organisation er det første skridt at finde ud af, hvorvidt man er omfattet af de nye krav i NIS2. Det bliver fastlagt endeligt i den danske implementering af direktivet, men for nogle virksomheder og sektorer står det allerede nu klart på baggrund af direktivets minimumskrav.

Som udgangspunkt gælder NIS2-direktivet ikke for mikrovirksomheder og små virksomheder medmindre de har en høj sikkerhedsrisikoprofil.

Kobling til standarder

NIS2-direktivet opfordrer til at anvende internationale, anerkendte standarder (artikel 21 og 25).

ISO/IEC 27001 Ledelsessystemer for informationssikkerhed - Krav er en anerkendt, international ledelsesstandard for informationssikkerhed, som vil være en oplagt vej til efterlevelse af minimumskravene i NIS2-direktivet. Standarden tilbyder en struktureret tilgang til at arbejde med informationssikkerhed, og en række af de minimumskrav der er nævnt i NIS2, bliver konkretiseret med ISO/IEC 27001, samt med standarden ISO/IEC 27002 Foranstaltninger til informationssikkerhed, der indeholder en vejledning til kravene i ISO/IEC 27001.

ISO/IEC 27001 er en ledelsesstandard, der har fokus på den ledelsesmæssige forankring, hvorfor den også af den grund er et godt værktøj ift. NIS2, hvor der netop stilles krav til ledelsens ansvar.

Standarden er derfor et godt udgangspunkt for at arbejde med NIS2, da den netop behandler emner som hændelseshåndtering- og rapportering, politikker for informationssikkerhed og risikoanalyse samt cyberhygiejnepraksisser, som er en del af minimumskravene.

Alle virksomheder og organisationer uanset størrelse kan have glæde af at arbejde med ISO/IEC 27001 og få skabt struktur på deres processer for informationssikkerhed. Standarden læses og implementeres i den kontekst, der giver mening for den enkelte organisation. Det er også muligt at blive certificeret i ISO/IEC 27001, men det er ikke et krav for at arbejde med standarden.

Et af de væsentligste krav i NIS2 omhandler risikostyring. Og netop af den årsag ser flere og flere virksomheder allerede i retning af ISO/IEC 27000-serien, da disse standarder har en risikobaseret tilgang. Standarderne er velafprøvede værktøjer, der kan hjælpe virksomhederne med at dokumentere deres risikostyringspraksis og hjælpe med at identificere de passende foranstaltninger, der skal implementere og rammesætte risikostyringsprocessen fra start til slut. Her kan standarden ISO/IEC 27005 Vejledning i styring af informationsrisici være en god hjælp, da den netop er en vejledning i risikostyring

De mest relevante standarder i ISO/IEC 27000-serien ift. NIS2 arbejdet:

  • ISO/IEC 27001 Information security, cybersecurity and privacy protection — Information security management systems — Requirements
  • ISO/IEC 27002 Information security, cybersecurity and privacy protection — Information security controls
  • ISO/IEC 27005 Information security, cybersecurity and privacy protection — Guidance on managing information security risks
  • ISO/IEC 27011 Information technology — Security techniques — Code of practice for Information security controls based on ISO/IEC 27002 for telecommunications organization (sektorspecifik)
  • ISO/IEC 27019 Information technology — Security techniques — Information security controls for the energy utility industry (sektorspecifik)

Udover standarderne i ISO/IEC 27000-serien, kan det også være oplagt at kigge nærmere på standarden ISO 22301 Business continuity management-systemer - Krav. I NIS2 er der stort fokus på at sikre processer for forretningskontinuitet, sikkerhed i forsyningskæden og disaster recovery, og her kan standarden være et godt sted at hente inspiration til det arbejde.

Andre artikler i serien

Overblik over de nye krav fra NIS til NIS2

  • Flere virksomheder og organisationer er omfattet: Private og offentlige enheder, der kvalificerer sig under definitionen mellemstore og store virksomheder, som leverer tjenester eller udfører aktiviteter i EU er omfattet af NIS2. Mellemstore virksomheder er defineret ved et selskab, der har mellem 50-250 medarbejdere med en årlig omsætning på mellem 10 og 50 millioner euro årligt. (artikel 2). Da direktivet endnu ikke er blevet implementeret i dansk lovgivning, er det i øjeblikket uklart, hvilke virksomheder det præcist vil omfatte, herunder om det også inkluderer kommunerne.
  • Flere sektorer kategoriseres som kritisk infrastruktur: I det nye NIS2 bliver endnu flere sektorer betegnet som kritisk infrastruktur og er dermed underlagt de nye krav. De nye sektorer er bl.a. fødevareproduktion og affaldshåndtering
  • Øget fokus på sikkerhed i forsyningskæder: Forsyningskæder ift. kritisk infrastruktur er omfattet, hvilket betyder at leverandører til kritisk infrastruktur med mere end 50 ansatte og en årlig omsætning på over 10 mio. euro er omfattet af kravene i NIS2.
  • Strengere tilsynsforanstaltninger: De nationale myndigheder skal sørge for at føre et tilsyn med de såkaldte væsentlige enheder.
  • Flere sanktionsmuligheder: Hvis enheder eller sektorer ikke lever op til kravene om nødvendige foranstaltninger eller rapporteringspligt, har tilsynsmyndighederne sanktionsmuligheder i form af administrative bøder.
  • Underretningspligt på 24 timer: De virksomheder og organisationer, der er omfattet af NIS2, er underlagt en underretningspligt, som betyder, at hændelser med mistanke om brud på sikkerheden skal indrapporteres indenfor 24 timer.
  • Større bøder: Bødeniveauet hæves i forbindelse med overtrædelser af NIS2. Bøderne afhænger af en organisations type og størrelse.




Minimumskrav i NIS2

Øgede krav til risikostyring har en central rolle i det nye NIS2 direktiv. Her præciseres det, at passende foranstaltninger som minimum indebærer, at virksomhederne udarbejder politikker for informationssikkerhed og risikoanalyse. Minimumskravene for sikkerhedsforanstaltninger er udpenslet i direktivets artikel 21, og omfatter:

  • Politikker for risikoanalyse og informationssikkerhed
  • Håndtering af hændelser
  • Driftskontinuitet (back-up) og krisestyring
  • Forsyningskædesikkerhed, herunder sikkerhedsrelaterede aspekter vedrørende forholdene mellem den enkelte enhed og dens direkte leverandører og tjenesteudbydere
  • Sikkerhed i forbindelse med erhvervelse, udvikling og vedligeholdelse af net- og informationssystemer, herunder håndtering og offentliggørelse af sårbarheder
  • Politikker og procedurer til vurdering af effektiviteten af foranstaltninger til styring af cybersikkerhedsrisici
  • Grundlæggende cyberhygiejnepraksisser og uddannelse i cybersikkerhed
  • Politikker og procedurer ift. brug af kryptografi og, hvor det er relevant, kryptering
  • Personalesikkerhed, politikker for adgangskontrol og forvaltning af aktiver
  • Brug af løsninger med multifaktorautentificering eller kontinuerlig autentificering, sikret tale-, video- og tekstkommunikation og sikrede nødkommunikationssystemer internt i enheden, hvor det er relevant.



NIS2 for ledelsen – grundlæggende viden om cyber- og informationssikkerhed

Dette kursus stiller skarpt på topledelsens rolle og ansvar for informationssikkerhed – blandt andet i forbindelse med implementeringen af NIS2. Kurset sikrer viden samt vurdering af cybersikkerhedsrisici, herunder processer for styring af it- og informationssikkerhed.



Bliv klar til NIS2 med ISO 27001 - Diplomkursus

På dette to-dages kursus i informationssikkerhed får du en detaljeret gennemgang af EU’s NIS2-direktiv, hvor vi samtidigt har fokus på, hvordan organisationer kan leve op til direktivet i praksis med ISO/IEC27001 - ledelsessystem for Informationssikkerhed. Bl.a. gennemgår vi de forskellige faser af implementeringen af et ledelsessystem for informationssikkerhed, hvor du får nærmere indblik i de områder, hvor NIS2 kræver ekstra tiltag.