Nye regler om cybersikkerhed udskudt til 2025

Publiceret: 21. okt. 2024
Skrevet af: Mads Hagemann Petersen
Nye regler om cybersikkerhed udskudt

Ministeriet for Samfundssikkerhed og Beredskab har besluttet, at cybersikkerhedslovgivningen NIS 2 udskydes til sommeren 2025. ”Lad det ikke blive en sovepude”, advarer TEKNIQ Arbejdsgiverne, som opfordrer medlemmerne til at gå i gang med forberedelserne.

Loading the Elevenlabs Text to Speech AudioNative Player...

NIS 2-direktivet er en del af et større lovprogram fra EU, som skal gøre samfundet mere robust, så vi ikke havner i en situation, hvor en række hændelser i virksomheder og myndigheder kan sætte samfundet i stå digitalt.

Opgaven med at implementere NIS 2 er flyttet ind i det nye Ministerium for Samfundssikkerhed og Beredskab. De har netop meldt ud, at implementeringen sker i sommeren 2025. Hos TEKNIQ Arbejdsgiverne sætter chefkonsulent Janus Sandsgaard sin lid til, at man efter flere udskydelser når i mål denne gang. Derfor bør virksomhederne tage reglerne alvorligt trods den udskudte tidsfrist.

- Udskydelserne af NIS 2 sender et kedeligt signal om, at regeringen ikke tager sikkerheden tilpas alvorligt. Jeg håber, at NIS 2 implementeringen er i gode hænder nu. Det er der brug for. Vi har kendt til de nye EU-regler i lang tid, og jeg har flere gange været bekymret for, om vi ville få styr på NIS 2, inden 3’eren udkommer, siger Janus Sandsgaard. 

Man kan med fordel allerede nu forberede sig på NIS 2. For reglerne bliver en realitet uanset processen.

Janus Sandsgaard, chefkonsulent i TEKNIQ Arbejdsgiverne.

Virksomhederne med på råd

Til gengæld for endnu en forsinkelse lover ministeren, at der bliver tid til ordentlig implementering, og man har samtidig planlagt at tage blandt andet virksomhederne med på råd i processen.

- Som jeg før har sagt, er cybersikkerhedsområdet simpelthen for vigtigt til, at vi haster noget igennem. Derfor vil vi i de kommende uger og måneder inddrage virksomheder, organisationer og øvrige relevante parter i drøftelser om det videre arbejde med implementeringen af NIS 2-direktivet. Og vi vil fortsætte en god dialog i hele perioden frem til, at loven træder i kraft, siger Torsten Schack Pedersen, minister for samfundssikkerhed og beredskab. 

Udnyt ventetiden

Men det er vigtigt, at man ikke bare venter på ministeriets udrulning, lyder det fra TEKNIQ Arbejdgivernes ekspert, der ser udskydelsen som en oplagt chance for medlemsvirksomhederne.

- Mens vi venter på udrulningen, er det vigtigt, at du ikke sidder på dine hænder. Tværtimod kan man med fordel allerede nu forberede sig på NIS 2. For reglerne bliver en realitet uanset processen, siger Janus Sandsgaard, chefkonsulent i TEKNIQ Arbejdsgiverne.

Et godt sted at starte er ved at gense TEKNIQ Arbejdsgivernes webinar om, hvordan man bliver klar til de nye krav, der kommer med NIS 2 eller læse følgende artikel, der giver det nødvendige overblik.

NIS 2 - Hvad bliver kravene?

  • Risikoanalyse og sikkerhedspolitikker – I skal have en risikoanalyse, som sikrer, at I forstår de risici, som ligger i, at virksomheden kan blive ramt af en cybersikkerhedshændelse og de forretningsmæssige konsekvenser, de vil have for din virksomhed. Kun på den måde kan I foretage de rigtige foranstaltninger til at håndtere risiciene.

    Hændelseshåndtering – I skal have en plan for at håndtere hændelsen, hvis uheldet er ude. Hvad gør I, når skaden sket? I skal være i stand til at vurdere krisens omfang og karakter, og hvis der er tale om en krisesituation, skal I igangsætte en beredskabsplan, som I har lavet og testet løbende. Dermed forventes det også, at virksomheden har en beredskabsplan (se næste punkt).

    Sikring af drift og krisestyring – Det er afgørende at I har en it-beredskabsplan klar, så I ved, hvem der har ansvaret, og hvad der skal gøres for at mindske krisen. At have et godt kriseredskab handler også om at have en procedure for at lave back-up, som kan være med til at sikre en hurtig genetablering af driften i virksomheden.

    Sikkerhed i forsyningskæden – I skal have overblik og styr på de sikkerhedsrelaterede aspekter af virksomhedens relation til leverandører og samarbejdspartnere, så du ikke får cyberkriminelle ind i dine systemer gennem et svagt led i forsyningskæden. Hvis leverandørerne f.eks. har D-mærket eller en anden mærkningsordning, ved du, at leverandøren lever op til en række sikkerhedskrav. Hvis ikke kan du også bruge disse mærker til at vide, hvilke krav du bør stille til dine samarbejdspartnere.

    Sikkerhed i netværks- og informationssystemer – I skal være opmærksomme på it-sikkerhed i forbindelse med erhvervelse, udvikling og drift af virksomhedens net- og informationssystemer, herunder håndtering og offentliggørelse af sårbarheder. Det er også vigtigt, at I har tiltag til at forebygge og opdage angreb på disse systemer.

    Politikker og procedurer til at vurdere effektiviteten af sikkerhedstiltag – Det forventes, at I løbende tester og reviderer sikkerhedstiltag i forretningen, så I sikrer, at planer og tiltag virker, og at forretningen dermed er reelt modstandsdygtig over for hændelser.

    Cyberhygiejnen og cybersikkerhedsuddannelse – I skal have cyberhygiejnen på plads, hvilket vil sige skabe gode sikkerhedsvaner såsom stærke passwords samt løbende opdateringer af software og antivirus. I skal også sørge for, at medarbejderne bliver uddannet i cybersikkerhed og at denne træning løbende vedligeholdes og opdateres.

    Politikker for brug af kryptografi og kryptering –Bruger I kryptering i forretningen, skal I lave politikker vedrørende brug af kryptografi. Det er vigtigt at forholde sig til, hvilke data der skal krypteres og hvordan. Det gælder både data i centrale systemer, data på f.eks. computere og telefoner, data der ligger eksternt, og kommunikation mellem systemer, hvor der udveksles data.

    Personalesikkerhed og adgangskontrolpolitikker – Det helt centrale her er, at I skal have styr på brugerrettigheder; hvem har adgang til hvilke systemer og data? Og husk at rydde løbende op i disse rettigheder. Derudover skal der tilbydes træning til bestyrelser og den øverste ledelse i sikkerhed, databeskyttelse og dataetik.

    Multifaktorautentificering eller kontinuerlig autentificering – Hvor det er muligt, så skal I bruge løsninger med multifaktorlogin eller kontinuerlig autentificering, og brug sikret tale-, video- og tekstkommunikation.

    Kilde: Industriens Fond:  ”Hvad er er NIS2?”, 14. april 2023.

Læs mere om samme emne:

Relaterede nyheder