Om standarder NIS2-direktivet

NIS2-direktivet

Fra oktober 2024 vil skærpede krav og flere regler blive virkelighed for mange virksomheder som følge af det nye NIS2-direktiv.

Se vores kursus i NIS2 Køb standardpakke - NIS2

Risikoen fra digitale trusler betyder, at cyber- og informationssikkerhed er rykket højt op på dagsordenen i EU.

Det nye Net- og Informationssikkerhedsdirektiv (NIS2-direktivet) skal bidrage til at styrke cyber- og informationssikkerheden på tværs af EU's medlemslande.

Direktivet er en opdatering af det oprindelige NIS direktiv, som blev indført i 2016, og er udviklet som en respons på den stigende trussel mod europæiske informationssystemer og -netværk. Direktivet betyder at en række sektorer i medlemslandene fra oktober 2024 vil blive underlagt skærpede krav til deres håndtering af cyber- og informationssikkerhed. Det gælder sektorer med samfundskritisk infrastruktur, der blandt andet omfatter sektorer som energi, transport, sundhed og finans m.fl., og hvor et nedbrud eller et angreb kan have alvorlige konsekvenser for samfundet.

Kontakt

Berit Aadal
Berit Aadal Seniorkonsulent | Senior Consultant
Sekretariater, udvalg og netværk II E: baa@ds.dk
T: 39 96 62 96
Majken Prip
Majken Prip Konsulent | Consultant
Afdeling for international politik og kursus E: mpr@ds.dk
T: 39 96 61 28

Hvilken betydning får NIS2-direktivet?

Med NIS2 følger en række krav:

  • Flere sektorer er kategoriseret som (samfunds)kritisk infrastruktur. Scopet for direktivet er udvidet (ift. det tidligere NIS-direktiv) til at omfatte endnu flere sektorer, der nu også opfattes som kritisk infrastruktur – f.eks. fødevareproduktion og affaldshåndtering
  • Øget fokus på sikkerhed i forsyningskæder. Den øgede digitalisering betyder, at et cyberangreb mod én virksomhed eller én sektor ikke kun kan isoleres til de direkte berørte, men også sætter sine spor i hele forsyningskæden, hvilket potentielt kan resultere i vidtrækkende og langvarige negative virkninger i leveringen af tjenester på tværs af hele det indre marked
  • Flere krav til risikostyring der betyder, at virksomheder og organisationer skal træffe passende sikkerhedsforanstaltninger. Minimumskravene for sikkerhedsforanstaltninger er udpenslet i direktivets artikel 21 og omfatter bl.a. politikker for risikoanalyse, håndtering af hændelser mm.

 

 

  • Afrapportering og underretningspligt for de virksomheder og organisationer der er omfattet af NIS2. Mistanke om væsentlige brud på sikkerheden skal indrapporteres til myndighederne indenfor 24 timer.
  • Fokus på ledelsesmæssig forankring af virksomhedens/organisationens risikostyringsindsats og sikkerhedsforanstaltninger
  • Virksomheder og organisationer skal træffe passende sikkerhedsforanstaltninger for at beskytte deres informationssystemer og netværk mod angreb og nedbrud
  • Sanktionsmuligheder og store bøder hvis enheder eller sektorer ikke lever op til kravene om nødvendige foranstaltninger eller underretningspligt.

Hvordan kan standarder hjælpe jer i gang med arbejdet med NIS2?

Et godt udgangspunkt for arbejdet med NIS2 er standarder. Det fremgår også af direktivets artikel 25, hvor medlemsstaterne tilskynder til at benytte europæiske og internationale standarder og tekniske specifikationer for at gennemføre de minimumskrav, der er nævnt i direktivets artikel 21.

Standarder er et rammeværktøj, der kan hjælpe med at strukturere de processer, der er nødvendige for at imødekomme visse krav i NIS2-direktivet. ISO/IEC 27001 er en anerkendt ledelsesstandard for informationssikkerhed, som er bredt anvendt i hele verden. Standarden er en struktureret tilgang til at arbejde med informationssikkerhed og dækker emner som risikostyring, ledelsesforankring og sikkerhedsforanstaltninger, som NIS2 har fokus på.

Udover ISO/IEC 27001 findes der en række andre standarder i samme serie, som også rummer inspiration til arbejdet med NIS2. Særligt relevant er henholdsvis ISO/IEC 27002 og ISO/IEC 27005. ISO/IEC 27002 er en vejledning til foranstaltninger til informationssikkerhed. De virksomheder, der skal arbejde med NIS2, kan finde inspiration til deres arbejde med bl.a. hændelseshåndtering, basal cyberhygiejne og driftskontinuitet i denne standard, som uddyber implementering af førnævnte områder sammen med lang liste over øvrige sikkerhedsforanstaltninger. ISO/IEC 27005 er en vejledning til risikostyring og håndtering af informationssikkerhedsrisici. Da et af grundelementerne i NIS2 er den risikobaserede tilgang, vil det derfor være oplagt at kigge i ISO/IEC 27005, der hjælper virksomheder og organisationer med at etablere sådan en proces for risikostyring.

Standarder er ikke kun en hjælp til at komme i gang med NIS2, men er også en oplagt mulighed for at komme på forkant med sikkerhedsarbejdet helt generelt og blive mere modstandsdygtig overfor cybertrusler.

Bliv klar til NIS2 med ISO 27001 - Diplomkursus

På dette to-dages kursus i informationssikkerhed får du en detaljeret gennemgang af EU’s NIS2-direktiv, hvor vi samtidigt har fokus på, hvordan organisationer kan leve op til direktivet i praksis med ISO/IEC27001 - ledelsessystem for Informationssikkerhed. Bl.a. gennemgår vi de forskellige faser af implementeringen af et ledelsessystem for informationssikkerhed, hvor du får nærmere indblik i de områder, hvor NIS2 kræver ekstra tiltag.

Desuden præsenterer vi en række cases fra virkelighedens verden, som giver dig et realistisk billede af, hvordan værktøjerne kan overføres til din egen organisation. Endelig giver kurset dig mulighed for at sparre og networke med de øvrige deltagere. Som afslutning følger en eksamen, og du får mulighed for at få et diplom på dine nyerhvervede kompetencer.

Læs mere om kurset

Mere viden om informationssikkerhed

ISO 27001 - Informationssikkerhed

ISO/IEC 27001

ISO/IEC 27001 - Informationssikkerhed

ISO 27001 er en international ledelsesstandard for informationssikkerhed. Standarden er et styringsværktøj, der hjælper virksomheder til at beskytte værdifulde informationer - herunder persondata - på en sikker og troværdig måde.

ISO/IEC 27002 – Foranstaltninger til informationssikkerhed

ISO/IEC 27002

ISO/IEC 27002 – Foranstaltninger til informationssikkerhed

ISO/IEC 27002 er en vejledning i at udvælge foranstaltninger i forbindelse med implementering af et ledelsessystem for informationssikkerhed.

ISO/IEC 27005 – Vejledning i håndtering af informationssikkerhedsrisici

ISO/IEC 27005

ISO/IEC 27005 – Vejledning i håndtering af informationssikkerhedsrisici

ISO/IEC 27005 er en vejledende standard, der hjælper organisationer med at etablere en proces for risikostyring.

ISO/IEC 27701 Privatlivsbeskyttelse

ISO/IEC 27701

ISO/IEC 27701 Privatlivsbeskyttelse

Standarden for privatlivsbeskyttelse, ISO/IEC 27701, er et ledelsesværktøj, som giver indblik i de arbejdsgange og foranstaltninger, som organisationer bør etablere for at opnå en passende beskyttelse af personoplysninger.