Er din organisation forberedt på NIS2?

NIS2 konference

Ledelsesansvar for manglende overholdelse af skærpede krav til cyber- og informationssikkerhed – er din organisation forberedt? Øget digitalisering, herunder øget brug af internettet og connected devices, og et markant forhøjet trusselsniveau i forhold til forretningsskadelige – og potentielt ødelæggende – cyberangreb, er baggrunden for ny EU lovgivning i form af et direktiv om cybersikkerhed, populært kaldet ”NIS2” (”Network and Information Security Directive”).

Læs en spændende artikel om NIS2 fra Bech-Bruun.

NIS2

Formålet med NIS2 er at beskytte EU-landene mod de samfundsmæssige og økonomiske konsekvenser, som driftskritiske hændelser, herunder hacker-/cyberangreb, hos de omfattede private og offentlige organisationer kan medføre. Derfor skal reglerne sikre et højt, og på tværs af EU-landene, harmoniseret niveau for organisationers modstandsdygtighed over for sådanne hændelser. Midlerne er blandt andet krav om ledelsesmæssig forankring, ansvarlig cyberhygiejne og EU-landenes pligt til at håndhæve reglerne gennem skærpede tilsyn og sanktioner. De omfattede organisationer er samlet på sektorniveau og inddelt i ”væsentlige” og ”vigtige” enheder alt efter deres samfundskritiske funktion, hvilket også afspejler sig i pligterne.
Kernen i reguleringen – og de mest iøjnefaldende skærpelser, bortset fra sanktionerne – består i: ledelsesansvar, risikovurderinger, ansvar for forsyningskæden, dokumentation, tilsyn og governance / løbende opfølgning.

NIS2 er et såkaldt minimumsdirektiv, hvilket betyder, at det enkelte EU-land vil kunne fastsætte strengere regler, end hvad der fremgår af direktivet, men regelsættet medvirker til at sikre ensartede, strenge krav og foranstaltninger til organisationer på tværs af EU-landene.

Hvem er omfattet?

Som væsentlige enheder er følgende sektorer omfattet af de nye, skærpede krav:

  • Energi, herunder el, fjernvarme/-køling, olie, gas og brint
  • Luft, vand, jernbane og vejtransport
  • Bankvirksomhed (den såkaldte DORA forordning har dog i praksis forrang for NIS2 ift. kreditinstitutter)
  • Finansielle markedsinfrastrukturer
  • Sundhed
  • Drikkevand
  • Spildevand
  • Digital infrastruktur
  • ICT managed service providers
  • Offentlig forvaltning
  • Rumfart

Derudover omfattes som vigtige enheder:

  • Post- og kurertjenester
  • Affaldshåndtering
  • Kemiske produkter (fremstilling, produktion og distribution)
  • Fødevarer (fremstilling, bearbejdning og distribution)
  • Pharma
  • Elektronik
  • Maskiner
  • Motorkøretøjer og anhængere
  • Optiske produkter
  • Digitale udbydere (online markedspladser, søgemaskiner og sociale platforme)
    Forskning og udvikling

Organisationer inden for ovennævnte brancher vil være direkte omfattet af NIS2, man da de direkte omfattede organisationer har ansvar for forsyningskæden, så vil leverandører og samarbejdspartnere til de omfattede organisationer i praksis indirekte også blive omfattet af kravene.

Hvad kræver NIS2 af den enkelte virksomhed/myndighed?

I forhold til den regulering vi kender i dag, så er NIS2, som forventeligt senest i sommeren 2024 skal efterleves af danske organisationer, en markant skærpelse og indbefatter bl.a. følgende minimumskrav:

  • Dokumentation for risikostyring, herunder risikovurderinger, politikker og procedurer, beredskabsplan inkl. driftskontinuitet, governance struktur, interne tilsyn/audits, mv.
  • Rapportering af hændelser
  • Kontrol af leverandører (ansvar for forsyningskæden), herunder ydelsesafklaring og kravspecifikation før aftaleindgåelse, samt sikring af den kontraktretlige regulering af aftaleforholdet og løbende overvågning
  • Løbende tilsyn gennemføres af myndighederne (forventeligt Center for Cybersikkerhed), herunder risiko for påbud og bøder (op til 2 % af den årlige, globale omsætning)
  • Ledelsesansvar for manglende overholdelse af kravene i NIS2
  • Løbende træning og uddannelse af både ledelse og medarbejdere

Hvad bør den enkelte organisation igangsætte allerede nu for at kunne overholde NIS2?

  • Klar strategi for arbejdet med cyber- og informationssikkerhed
  • Intern forankring af roller, ansvar og opgaver i projekt og drift (governance og årshjul)
  • Mapping: Skabe overblik over systemer og leverandører – også shadow IT og OT, som fx robotter og logistiksystemer
  • Indrette procedurer i forhold til køb, drift og ændringer af systemer mv., således de tager højde for de informationssikkerhedsmæssige behov og regulatoriske krav, som virksomheden er underlagt
  • Risikovurdering og evt. implementering af mitigerende foranstaltninger (og dokumentation, overvågning og løbende ajourføring heraf)
  • Hvilke elementer fra den eksisterende compliance (fx GDPR og det basale informationssikkerhedsarbejde) kan videreføres og udbygges?

Uanset at man som organisation måtte være omfattet af det eksisterende NIS1 direktiv, så er det på flere planer en omfattende og ressourcekrævende opgave at implementere og overholde NIS2 i sin organisation.

konferencen NIS2 den 13. april 2023 kan du høre og lære meget mere om NIS2 fra førende eksperter i Danmark, herunder ikke mindst ”do’s and dont’s” og anbefalingerne til ”hvad og hvordan?” i forhold til en effektiv og succesfuld implementering af NIS2. Læs mere om konferencen her og tilmeld dig her.

Kontakt os

Mikkel Friis Rossa
Partner
+45 2526 3359
mif@bechbruun.com

Peter Lind Nielsen
Managing Associate
+45 2526 3431
pln@bechbruun.com