Skærpede regler: Bliv klar til EUs nye sikkerhedskrav

Publiceret: 30. maj 2024
Skrevet af: Janus Sandsgaard
NIS 2

Der er skrappere krav på vej om it-sikkerhed til virksomheder og myndigheder. Det er en stor mundfuld, ingen har for alvor overblikket, og lovprocessen er forsinket. Til gengæld skal alt spille til januar 2025.

Samfundet bliver mere og mere digitalt. Det giver en masse fordele, men der følger også større digital sårbarhed og snavs med i købet, så it-sikkerheden skal selvfølgelig følge med.

Det skal det såkaldte NIS2-direktiv sikre. Direktivet er en del af et større lovprogram fra EU, som skal gøre samfundet mere robust, så vi ikke havner i en situation, hvor en række hændelser i virksomheder og myndigheder kan sætte samfundet i stå.

Læs også: Webinar om NIS2 for TEKNIQ Arbejdsgivernes medlemmer

Den svære 2’er

I dag er omkring 150 danske virksomheder direkte omfattet af NIS1-loven fra 2016. Med NIS2 udvides lovgivningen til at dække 18 sektorer og dermed et langt større antal virksomheder.

Præcis hvor mange og hvem er svært at sige. Et bud fra Industriens Fond lyder på, at omkring 1.000 danske virksomheder bliver direkte omfattet.

Som udgangspunkt gælder de nye regler kun virksomheder med flere end 50 ansatte og en omsætning på mere end 10 millioner euro - men det rækker videre, forklarer Janus Sandsgaard, der er chefkonsulent i TEKNIQ Arbejdsgiverne.

–  Den nye lov pålægger nemlig omfattede virksomheder at stille skærpede krav til sine leverandører, og på den måde breder kravene sig ned gennem leverandørkæden. Så hvis din virksomhed leverer til nogle af de omfattede sektorer, skal du sandsynligvis dokumentere, hvordan du arbejder med sikkerhed og risikostyring, siger han.

Hvad er kravene?

Virksomheder forpligtes til at træffe "passende og forholdsmæssige tekniske, operationelle og organisatoriske foranstaltninger for at styre risiciene for sikkerheden i net- og informationssystemer".

Hvad det præcis betyder i Danmark i forskellige sektorer, ved vi endnu ikke i detaljer. For der findes ikke en køreplan for den danske implementering af NIS2 endnu, men Industriens Fond har givet et bud på, hvad de nye regler kommer til at indebære. (Se faktaboks nederst)

Vent ikke

Den danske plan for NIS2 skulle ifølge regeringens lovprogram behandles i Folketinget i februar 2024, men er blevet udskudt til næste folketingssamling i oktober 2024. Ministeren har dog lovet, at man er opmærksom på behovet for vejledninger og inddragelse af interessenter.

På trods af den langsommelige politiske proces opfordrer Janus Sandsgaard medlemsvirksomhederne til at gå i gang nu.

– Selvom loven og vejledningerne ikke er på plads endnu, bør du forholde dig til NIS2 med det samme. Ellers risikerer du pludselig at stå med håret i postkassen med panik før lukketid, siger han og kommer med to konkrete anbefalinger:

1) Kig på din forretning og dine kunder. Er du en del af de omfattede sektorer eller har du kunder der er, kan du meget vel blive mødt af nye krav.

2) Tag en snak med kunderne: Hvordan forholder de sig til NIS2? Hvor langt er de? Hvad forventer de at stille af nye krav?

TEKNIQ Arbejdsgiverne følger implementeringen af NIS 2 og vil løbende informere via nyhedsbrev, webinarer og podcast
  • NIS 2 - Hvad bliver kravene?
    1. Risikoanalyse og sikkerhedspolitikker – I skal have en risikoanalyse, som sikrer, at I forstår de risici, som ligger i, at virksomheden kan blive ramt af en cybersikkerhedshændelse og de forretningsmæssige konsekvenser, de vil have for din virksomhed. Kun på den måde kan I foretage de rigtige foranstaltninger til at håndtere risiciene.

     

    1. Hændelseshåndtering – I skal have en plan for at håndtere hændelsen, hvis uheldet er ude. Hvad gør I, når skaden sket? I skal være i stand til at vurdere krisens omfang og karakter, og hvis der er tale om en krisesituation, skal I igangsætte en beredskabsplan, som I har lavet og testet løbende. Dermed forventes det også, at virksomheden har en beredskabsplan (se næste punkt).

     

    1. Sikring af drift og krisestyring – Det er afgørende at I har en it-beredskabsplan klar, så I ved, hvem der har ansvaret, og hvad der skal gøres for at mindske krisen. At have et godt kriseredskab handler også om at have en procedure for at lave back-up, som kan være med til at sikre en hurtig genetablering af driften i virksomheden.

     

    1. Sikkerhed i forsyningskæden – I skal have overblik og styr på de sikkerhedsrelaterede aspekter af virksomhedens relation til leverandører og samarbejdspartnere, så du ikke får cyberkriminelle ind i dine systemer gennem et svagt led i forsyningskæden. Hvis leverandørerne f.eks. har D-mærket eller en anden mærkningsordning, ved du, at leverandøren lever op til en række sikkerhedskrav. Hvis ikke kan du også bruge disse mærker til at vide, hvilke krav du bør stille til dine samarbejdspartnere.

     

    1. Sikkerhed i netværks- og informationssystemer – I skal være opmærksomme på it-sikkerhed i forbindelse med erhvervelse, udvikling og drift af virksomhedens net- og informationssystemer, herunder håndtering og offentliggørelse af sårbarheder. Det er også vigtigt, at I har tiltag til at forebygge og opdage angreb på disse systemer.

     

    1. Politikker og procedurer til at vurdere effektiviteten af sikkerhedstiltag – Det forventes, at I løbende tester og reviderer sikkerhedstiltag i forretningen, så I sikrer, at planer og tiltag virker, og at forretningen dermed er reelt modstandsdygtig over for hændelser.

     

    1. Cyberhygiejnen og cybersikkerhedsuddannelse – I skal have cyberhygiejnen på plads, hvilket vil sige skabe gode sikkerhedsvaner såsom stærke passwords samt løbende opdateringer af software og antivirus. I skal også sørge for, at medarbejderne bliver uddannet i cybersikkerhed og at denne træning løbende vedligeholdes og opdateres.

     

    1. Politikker for brug af kryptografi og kryptering –Bruger I kryptering i forretningen, skal I lave politikker vedrørende brug af kryptografi. Det er vigtigt at forholde sig til, hvilke data der skal krypteres og hvordan. Det gælder både data i centrale systemer, data på f.eks. computere og telefoner, data der ligger eksternt, og kommunikation mellem systemer, hvor der udveksles data.

     

    1. Personalesikkerhed og adgangskontrolpolitikker – Det helt centrale her er, at I skal have styr på brugerrettigheder; hvem har adgang til hvilke systemer og data? Og husk at rydde løbende op i disse rettigheder. Derudover skal der tilbydes træning til bestyrelser og den øverste ledelse i sikkerhed, databeskyttelse og dataetik.

     

    1. Multifaktorautentificering eller kontinuerlig autentificering – Hvor det er muligt, så skal I bruge løsninger med multifaktorlogin eller kontinuerlig autentificering, og brug sikret tale-, video- og tekstkommunikation.

    Kilde: Industriens Fond:  ”Hvad er er NIS2?”, 14. april 2023.

Sektorer omfattet af NIS2

"Væsentlige enheder": 

  • Energi (elektricitet, fjernvarme, olie, gas og brint) 
  • Transport (luft, jernbane, vand og vej) 
  • Bankvirksomhed (kreditinstitutter) 
  • Finansielle markedsinfrastrukturer (markedspladser) 
  • Sundhedssektoren (sundhedstjenesteydere og producenter af lægemidler mv.) 
  • Drikke- og spildevand. 
  • Digital infrastruktur (bl.a. udbydere af cloud ydelser, datacentre, domænenavnssystemer (DNS), topdomæneregistre (TLD) og offentlige kommunikationsnet) 
  • Informations- og kommunikationstjenesteudbydere (ICT-services) 
  • Udbydere af managed services og managed security services 
  • Offentlig forvaltning (undtagen Folketinget, domstolene og Nationalbanken) 
  • Rummet (operatører af jordbaseret infrastruktur). 

"Vigtige enheder": 

  • Post- og kurertjenester 
  • Affaldshåndtering 
  • Fremstilling, produktion og distribution af kemikalier 
  • Fremstilling, bearbejdning og distribution af fødevarer 
  • Fremstilling af bl.a. elektronik, maskiner og motorkøretøjer 
  • Udbydere af visse digitale tjenester (onlinemarkedspladser og -søgemaskiner samt sociale netværkstjenester) 
  • Forskning (højere læreanstalter og forskningsinstitutioner). 

Relaterede nyheder