NIS2-direktivet er et nyt EU-direktiv, der har til formål at styrke cybersikkerheden for kritiske sektorer og essentielle tjenester såsom energi, transport, sundhed, bankvæsen og digital infrastruktur. Direktivet opdaterer og erstatter det tidligere NIS-direktiv fra 2016, som var den første EU-dækkende lovgivning om cybersikkerhed.
NIS2-direktivet indfører nye krav til risikohåndtering, hændelsesrapportering, informationsdeling og tilsyn. Det inkluderer også strengere sanktioner for overtrædelser af reglerne. Derudover udvides direktivet til at omfatte flere sektorer og tjenester, samtidig med at det bliver nemmere at afgøre, hvilke virksomheder der er omfattet.
NIS2-direktivet skulle implementeres i de nationale lovgivninger inden den 17. oktober 2024, hvorefter det vil træde i kraft. Grundlæggende bør organisationer, der påvirkes af NIS2, være klar til at overholde det allerede fra det nye år. Du kan læse direktivet i sin helhed her.
Hvad bør du gøre nu?
Find ud af, om du er omfattet af direktivet
Direktivets anvendelsesområde dækker virksomheder, der opererer inden for kritiske sektorer, herunder energi, transport, bankvæsen, drikkevand og spildevand, digital infrastruktur og IKT-tjenester, offentlig administration og rumfart. Derudover omfatter direktivet andre kritiske sektorer såsom post- og kurertjenester, affaldshåndtering, kemisk industri, fødevareproduktion og -distribution, produktion, digitale leverandører (f.eks. markedspladser) og forskning.
Bemærk, at selvom din virksomhed ikke er direkte omfattet af direktivet, kan visse krav stadig være relevante. Dette kan være tilfældet, hvis din virksomhed er en del af en forsyningskæde, der inkluderer aktører inden for direktivets anvendelsesområde. Sikkerhedskrav til forsyningskæden kan dermed påvirke dig, da du skal opfylde kravene, der gælder for dine interessenter og samarbejdspartnere.
Udfør en gap-analyse
Hvis du er omfattet af direktivet, bør du enten udføre en intern analyse eller få ekstern hjælp til at identificere og adressere eventuelle mangler i din virksomhed. Artikel 21 i direktivet er et godt sted at starte.
Tilsyn
Find ud af, hvem din tilsynsmyndighed er, og registrér dig for vejledning. Forstå, hvordan processen for hændelsesrapportering fungerer. Tilsynet kan variere afhængigt af land og branche.
Hvilke NIS2-krav kan 3stepIT hjælpe med?
Vores tjenester understøtter flere af de nøglesikkerhedskrav, som NIS2-direktivet stiller. Disse nøglekrav er primært beskrevet i artikel 21. Disse krav til cybersikkerhedsrisikostyring indebærer, at organisationer skal tage passende og proportionelle tekniske, operationelle og organisatoriske skridt for at håndtere deres cybersikkerhedsrisici. Her er, hvordan vi kan hjælpe:
Asset management, adgangskontrolpolitikker (21.2 i):
NIS2 kræver, at organisationer har en formel praksis for aktivhåndtering. Det er derfor et godt tidspunkt at vurdere, hvordan du holder styr på bærbare computere, mobiltelefoner og andet IT-udstyr. Er de registreret i et dedikeret system, regneark eller måske slet ikke konsekvent registreret? Et godt sikkerhedssetup kræver, at organisationer har overblik over deres IT-ressourcer, hvilket kan være svært uden et aktivstyringssystem. Du kan ikke overvåge og beskytte enheder og data, som kan tilgås via disse enheder, hvis du ikke er klar over, at du har dem.
Vores løsninger til aktivstyring hjælper dig med at opfylde kravene til forvaltning af dit IT-udstyr. Med vores værktøjer kan du nemt spore, hvor dine enheder befinder sig, hvem der bruger dem, og hvad de koster pr. måned. Vi tilbyder støtte gennem hele enhedens livscyklus, herunder bortskaffelse og datasletning. Derudover giver vores systemer dig fleksible adgangskontrolpolitikker, så du kan beslutte, hvilke ressourcer og data de forskellige brugere skal have adgang til.
Support til multifaktorautentificering (21.2 j):
3stepIT’s platforme til aktivstyring understøtter multifaktorautentificering, hvilket er vigtigt for at beskytte dine systemer mod uautoriseret adgang.
Sikkerhed i forsyningskæden (21.2 d):
NIS2 kræver, at organisationer sikrer deres forsyningskæde mod sikkerhedstrusler. 3stepIT er ISO27001-certificeret, hvilket i høj grad stemmer overens med kravene i NIS2-direktivet. Dette giver dig tryghed for, at vi lever op til internationale sikkerhedsstandarder. Vi har desuden et 24/7 sikkerhedsoperationscenter og udfører regelmæssige sikkerhedstests.
Manglende overholdelse af NIS2 kan føre til store bøder på op til 10.000.000 EUR eller 2 % af virksomhedens samlede globale årlige omsætning, alt efter hvad der er højest. Det er derfor vigtigt at sikre, at din virksomhed lever op til direktivets krav.
