NIS2: En guide til EU's nye cybersikkerhedsdirektiv

En robust cybersikkerhedsstrategi kan ikke kun beskytte din organisation, men også opbygge tillid hos kunder og partnere.

I denne artikel forklarer vi, hvad direktivet betyder, og fremhæver de vigtigste punkter.

Hvad er formålet med NIS2?

EU har udviklet NIS2 for at hæve det fælles niveau for cybersikkerhed i Unionen. Ved at stille højere krav til både store og små aktører har direktivet til formål at skabe et mere modstandsdygtigt digitalt økosystem og beskytte vigtige tjenester mod cybertrusler.

Truslen er klar: Små og mellemstore virksomheder har ofte et svagere forsvar end større aktører og er derfor attraktive mål for hackere. Gennem dem kan cyberkriminelle få adgang til større virksomheder eller kritisk infrastruktur. NIS2 har til formål at bryde denne kæde.

Hvem er dækket af NIS2?

NIS2 gælder for virksomheder og organisationer i kritiske og samfundsmæssigt vigtige sektorer. Blandt de berørte er:

• Bankfolk
• Energi
• Transport
• Vand og kloakering
• Sundheds- og lægetjenester
• Offentlig administration
• Rumfartsindustrien
• Digitale tjenester som f.eks. cloud-udbydere og datacentre

Virksomheder med mere end 50 ansatte eller en årlig omsætning på over 10 millioner euro er direkte berørt. Mindre virksomheder kan også blive berørt, hvis de er en del af kritiske forsyningskæder.

Hvis din virksomhed ikke overholder NIS2, kan det få alvorlige konsekvenser. En virksomhed kan få en bøde på op til 10 millioner euro eller 2 % af dens globale årlige omsætning.

Hvad kræver NIS2?

NIS2 skærper kravene til virksomheders cybersikkerhed og stiller specifikke krav på tre områder:

Risikostyring

• Virksomheden skal have systemer til at identificere, styre og rapportere risici
• Leverandørstyring og vurdering af risici i værdikæden er også obligatorisk.

Rapportering og ledelsesansvar

• Hændelser, der påvirker driften kritisk, skal indberettes til tilsynsmyndigheden inden for 24 timer.
• En sammenfattende rapport skal leveres inden for 72 timer og en endelig rapport inden for en måned.
• Ledelsen har et personligt ansvar for at sikre compliance og kan holdes ansvarlig for overtrædelser.

Overholdelse og træning

• Virksomheden skal have interne procedurer for IT-sikkerhedstræning
• Medarbejderne skal have adgang til information om foranstaltninger til at øge cybersikkerheden
• Der kræves planer for krisestyring og for at sikre forretningskontinuitet i tilfælde af en hændelse.

Sådan forbereder du din virksomhed på NIS2

Ligesom GDPR kræver NIS2 tid og ressourcer at implementere. Her er nogle skridt, du kan tage for at forberede dig:

1. Analyser den aktuelle situation

Kortlæg din nuværende cybersikkerhedspraksis, og identificer hullerne i forhold til NIS2-kravene.

2. At skabe en holistisk tilgang til cybersikkerhed

Sørg for, at it-sikkerhed er en del af organisationens overordnede strategi.

3. Uddannelse af ledelse og medarbejdere

Inddrag ledelsen og sørg for, at alle medarbejdere forstår deres rolle i at beskytte organisationen.

4. Få hjælp fra eksperter

Implementering af NIS2 kan være kompleks. Få hjælp fra specialister til at sikre, at du opfylder kravene.

Vejen frem med Upheads

NIS2 er kommet for at blive, og kravene er omfattende. Men med de rette forberedelser kan du styrke din virksomhed, beskytte din drift og opbygge tillid på markedet.

Har du brug for hjælp til at komme i gang? Kontakt os, så hjælper vi dig med at analysere, hvordan NIS2 påvirker din virksomhed, og hvilke tiltag der er nødvendige. Vi kan også være med dig hele vejen for at sikre, at din virksomhed lever op til alle kravene i reglerne - sikkert og problemfrit.