Webinar: Bliv klog på EUs nye sikkerhedskrav

Publiceret: 13. jun. 2024
Skrevet af: Mads Hagemann Petersen
Webinar: Bliv klog på EUs nye sikkerhedskrav
Bliv klogere på NIS2 med med rådgivning fra Janus Sandsgaard

Der er skrappere krav på vej om it-sikkerhed til virksomheder og myndigheder. Det er en stor mundfuld, og svært at finde hoved og hale i. Derfor afholder TEKNIQ Arbejdsgiverne et opklarende webinar, der klæder medlemsvirksomhederne på, før sikkerhedskravene træder i kraft til januar 2025.

Ser du også fjern ud i blikket, når folk nævner NIS2? Eller har du stadig til gode at tale om EU's nye sikkerhedskrav over kaffen? Så er du den oplagte deltager på TEKNIQ Arbejdsgivernes kommende webinar om EU-direktivet NIS2. Her kan du høre mere om EU’s skærpede cybersikkerhedsregler, der skal sikre, at it-sikkerheden er på plads i en verden, der bliver mere og mere digital. 

Hvem er omfattet?

Præcis hvor mange virksomheder, der er omfattet af direktivet, er svært at sige endnu. Et bud fra Industriens Fond lyder på, at omkring 1.000 danske virksomheder bliver direkte omfattet.

Som udgangspunkt gælder de nye regler kun virksomheder med flere end 50 ansatte og en omsætning på mere end 10 millioner euro - men det rækker videre, forklarer Janus Sandsgaard, der er chefkonsulent i TEKNIQ Arbejdsgiverne.

–  Den nye lov pålægger nemlig omfattede virksomheder at stille skærpede krav til sine leverandører, og på den måde breder kravene sig ned gennem leverandørkæden. Så hvis din virksomhed leverer til nogle af de omfattede sektorer, skal du sandsynligvis dokumentere, hvordan du arbejder med sikkerhed og risikostyring, siger han.

Ekspertrådgivning

Nedenfor kan man se en liste over både krav samt hvilke sektorer, der kommer til at være omfattet af NIS2. Det tydeliggør omfanget, og dermed også behovet for at stille relevant og dybdegående information til rådighed for medlemmerne hos TEKNIQ Arbejdsgiverne. Derfor kan man den 19. juni høre mere om NIS2. Det kommer både til at være relevant og slet ikke så tørt, som man tror. For det er blandt andet Janus Sandsgaard, der storhittede med sit foredrag på medlemsdagen, som vejleder til webinaret. Følg linket og tilmeld dig allerede i dag.

Sektorer omfattet af NIS2

"Væsentlige enheder":

  • Energi (elektricitet, fjernvarme, olie, gas og brint)
  • Transport (luft, jernbane, vand og vej)
  • Bankvirksomhed (kreditinstitutter)
  • Finansielle markedsinfrastrukturer (markedspladser)
  • Sundhedssektoren (sundhedstjenesteydere og producenter af lægemidler mv.)
  • Drikke- og spildevand.
  • Digital infrastruktur (bl.a. udbydere af cloud ydelser, datacentre, domænenavnssystemer (DNS), topdomæneregistre (TLD) og offentlige kommunikationsnet)
  • Informations- og kommunikationstjenesteudbydere (ICT-services)
  • Udbydere af managed services og managed security services
  • Offentlig forvaltning (undtagen Folketinget, domstolene og Nationalbanken)
  • Rummet (operatører af jordbaseret infrastruktur).

"Vigtige enheder":

  • Post- og kurertjenester
  • Affaldshåndtering
  • Fremstilling, produktion og distribution af kemikalier
  • Fremstilling, bearbejdning og distribution af fødevarer
  • Fremstilling af bl.a. elektronik, maskiner og motorkøretøjer
  • Udbydere af visse digitale tjenester (onlinemarkedspladser og -søgemaskiner samt sociale netværkstjenester)
  • Forskning (højere læreanstalter og forskningsinstitutioner).
  • NIS 2 - Hvad bliver kravene?
    1. Risikoanalyse og sikkerhedspolitikker – I skal have en risikoanalyse, som sikrer, at I forstår de risici, som ligger i, at virksomheden kan blive ramt af en cybersikkerhedshændelse og de forretningsmæssige konsekvenser, de vil have for din virksomhed. Kun på den måde kan I foretage de rigtige foranstaltninger til at håndtere risiciene.

     

    1. Hændelseshåndtering – I skal have en plan for at håndtere hændelsen, hvis uheldet er ude. Hvad gør I, når skaden sket? I skal være i stand til at vurdere krisens omfang og karakter, og hvis der er tale om en krisesituation, skal I igangsætte en beredskabsplan, som I har lavet og testet løbende. Dermed forventes det også, at virksomheden har en beredskabsplan (se næste punkt).

     

    1. Sikring af drift og krisestyring – Det er afgørende at I har en it-beredskabsplan klar, så I ved, hvem der har ansvaret, og hvad der skal gøres for at mindske krisen. At have et godt kriseredskab handler også om at have en procedure for at lave back-up, som kan være med til at sikre en hurtig genetablering af driften i virksomheden.

     

    1. Sikkerhed i forsyningskæden – I skal have overblik og styr på de sikkerhedsrelaterede aspekter af virksomhedens relation til leverandører og samarbejdspartnere, så du ikke får cyberkriminelle ind i dine systemer gennem et svagt led i forsyningskæden. Hvis leverandørerne f.eks. har D-mærket eller en anden mærkningsordning, ved du, at leverandøren lever op til en række sikkerhedskrav. Hvis ikke kan du også bruge disse mærker til at vide, hvilke krav du bør stille til dine samarbejdspartnere.

     

    1. Sikkerhed i netværks- og informationssystemer – I skal være opmærksomme på it-sikkerhed i forbindelse med erhvervelse, udvikling og drift af virksomhedens net- og informationssystemer, herunder håndtering og offentliggørelse af sårbarheder. Det er også vigtigt, at I har tiltag til at forebygge og opdage angreb på disse systemer.

     

    1. Politikker og procedurer til at vurdere effektiviteten af sikkerhedstiltag – Det forventes, at I løbende tester og reviderer sikkerhedstiltag i forretningen, så I sikrer, at planer og tiltag virker, og at forretningen dermed er reelt modstandsdygtig over for hændelser.

     

    1. Cyberhygiejnen og cybersikkerhedsuddannelse – I skal have cyberhygiejnen på plads, hvilket vil sige skabe gode sikkerhedsvaner såsom stærke passwords samt løbende opdateringer af software og antivirus. I skal også sørge for, at medarbejderne bliver uddannet i cybersikkerhed og at denne træning løbende vedligeholdes og opdateres.

     

    1. Politikker for brug af kryptografi og kryptering –Bruger I kryptering i forretningen, skal I lave politikker vedrørende brug af kryptografi. Det er vigtigt at forholde sig til, hvilke data der skal krypteres og hvordan. Det gælder både data i centrale systemer, data på f.eks. computere og telefoner, data der ligger eksternt, og kommunikation mellem systemer, hvor der udveksles data.

     

    1. Personalesikkerhed og adgangskontrolpolitikker – Det helt centrale her er, at I skal have styr på brugerrettigheder; hvem har adgang til hvilke systemer og data? Og husk at rydde løbende op i disse rettigheder. Derudover skal der tilbydes træning til bestyrelser og den øverste ledelse i sikkerhed, databeskyttelse og dataetik.

     

    1. Multifaktorautentificering eller kontinuerlig autentificering – Hvor det er muligt, så skal I bruge løsninger med multifaktorlogin eller kontinuerlig autentificering, og brug sikret tale-, video- og tekstkommunikation.

    Kilde: Industriens Fond:  ”Hvad er er NIS2?”, 14. april 2023.

Læs mere om samme emne:

Relaterede nyheder