EN SV
legislation

NIS-2 direktiv forklaret

7 minutters læsning
NIS-2 direktiv forklaret

Oversigt over EU's NIS-2 direktiv: anvendelsesområde, konkrete krav, rapporteringspligter og forhold til Cyber Resilience Act.

Anvendelsesområde for NIS 2

NIS-2 direktivet udvider betydeligt anvendelsesområdet sammenlignet med dets forgænger. Det dækker nu en bredere række sektorer og enheder:

Væsentlige sektorer

  • Energi (elektricitet, fjernvarme / køling, olie, gas, brint)
  • Transport (luft, jernbane, maritime, vej)
  • Bank & finansmarkedsinfrastrukturer
  • Sundhed
  • Drikkevand og spildevand
  • Digital infrastruktur
  • B2B leverandører af IKT-tjenester
  • Offentlig administration
  • Rum

Vigtige sektorer

  • Post- og kurerservice
  • Affaldshåndtering
  • Kemikalier (produktion, fremstilling, handel)
  • Mad (produktion, forarbejdning, distribution)
  • Industri (medicinsk udstyr, elektrisk & elektronisk, maskinteknik, bilindustri)
  • Digitale tjenester (markedspladser, søgemaskiner, sociale medier)
  • Forskning

Direktivet gælder for mellemstore og store virksomheder i disse sektorer, baseret på definerede tærskler.

Specifikke krav i NIS 2

Artikel 21 i NIS-2 direktivet opstiller en række specifikke krav for berørte enheder. Disse har til formål at sikre et højt fælles cybersikkerhedsniveau på tværs af EU. Nedenfor er hovedkravene i detaljer:

Risikostyring (artikel 21, stk. 1 og 2(a))

Implementer passende og proportionale tekniske, operationelle og organisatoriske foranstaltninger til at adressere cybersikkerhedsrisici, herunder koncepter for risikoanalyse og sikkerhed af informationssystemer.

Eksempler: regelmæssige risikoanalyser, oprettelse og opdatering af et risikoinventar, implementering af en formaliseret risikostyringsproces.

Forsyningskædesikkerhed (artikel 21, stk. 2(d) og stk. 3)

Tage cybersikkerhedsrisici på tværs af hele forsyningskæden i betragtning, herunder sikkerhedsaspekter mellem virksomheden og dens direkte leverandører eller serviceudbydere.

Eksempler: gennemførelse af sikkerhedsrevisioner af leverandører, inklusion af cybersikkerhedsklausuler i kontrakter, implementering af et leverandør-risikostyringssystem.

Håndtering af sikkerhedshændelser (artikel 21, stk. 2(b))

Implementer foranstaltninger til effektiv håndtering af sikkerhedshændelser.

Eksempler: etablering af et Computer Emergency Response Team (CERT), udvikling og regelmæssig test af hændelsesresponsplaner, implementering af automatiseret registrering og responssystemer.

Kontinuitet af operationer og krisehåndtering (artikel 21, stk. 2(c))

Implementer foranstaltninger til at opretholde operationer, herunder backup-håndtering, genopretning efter nødsituationer og krisehåndtering.

Eksempler: udvikling og regelmæssig test af forretningskontinuitet og katastrofe-genoprettelsesplaner, etablering af et cyber-hændelse kriseteam, implementering af redundante systemer og datasikkerhedskopier.

Sikkerhed i indkøb, udvikling og vedligeholdelse (artikel 21, stk. 2(e))

Implementer sikkerhedsforanstaltninger i indkøb, udvikling og vedligeholdelse af netværks- og informationssystemer, herunder sårbarheds-håndtering og -offentliggørelse.

Eksempler: integration af security-by-design principper i udviklingsprocesser, regelmæssig anvendelse af sikkerhedsopdateringer og patches, implementering af et sårbarheds-håndteringsprogram.

Test og vurdering af effektivitet (artikel 21, stk. 2(f))

Implementer koncepter og procedurer til at vurdere effektiviteten af cybersikkerhedsrisiko-styringsforanstaltninger.

Eksempler: regelmæssige interne og eksterne sikkerhedsrevisioner, implementering af nøglepræstationsindikatorer (KPI'er) for cybersikkerhed, gennemførelse af penetrationstest og red-team øvelser.

Cyber hygiejne og træning (artikel 21, stk. 2(g))

Implementer grundlæggende cyber hygiejneprocedurer og gennemføre cybersikkerhedstræning.

Eksempler: regelmæssige phishing-simuleringer, obligatorisk årlig cybersikkerhedsbevidsthedspleje for alle medarbejdere, implementering af password- og enhedsbrug bedste-praksis politikker.

Kryptering og kryptografi (artikel 21, stk. 2(h))

Implementer koncepter og procedurer for brugen af kryptografi og, hvor passende, kryptering.

Eksempler: brug af AES-256 til datakryptering, brug af TLS til kryptering af datatransmissioner, implementering af end-to-end kryptering for følsom kommunikation.

Personalesikkerhed, adgangskontrol og facilitetshåndtering (artikel 21, stk. 2(i))

Implementer foranstaltninger for personalesikkerhed, adgangskontrolkoncepter og facilitetshåndtering.

Eksempler: baggrundstjek ved ansættelse af nye medarbejdere, implementering af rollebaseret adgangskontrol, installation af adgangskontrolsystemer for kritiske infrastrukturer.

Multi-faktor autentificering og sikker kommunikation (artikel 21, stk. 2(j))

Brug løsninger til multi-faktor autentificering eller kontinuerligh autentificering, sikre kommunikationssystemer og, hvor passende, sikre nødkommunikationssystemer.

Eksempler: implementering af 2-faktor autentificering til alle kritiske systemer, brug af VPN'er til fjernadgang, etablering af et sikkert nødkommunikationssystem.

Overtjek af teknologisk niveau (artikel 21, stk. 1, andet afsnit)

Tage det teknologiske niveau og, hvor anvendeligt, relevante europæiske og internationale standarder i betragtning ved implementering af sikkerhedsforanstaltninger.

Eksempler: regelmæssig gennemgang og opdatering af sikkerhedsforanstaltninger baseret på de seneste bedste praksisser og standarder såsom ISO/IEC 27001, NIST Cybersecurity Framework eller BSI IT-Grundschutz.

Proportionalitet af foranstaltninger (artikel 21, stk. 1, andet afsnit)

Overvejer proportionaliteten af foranstaltninger ved at tage faktorer som risikoeksponering, enhedens størrelse og den potentielle effekt af sikkerhedshændelser i betragtning.

Eksempler: kosten-nytte-analyse for sikkerhedsforanstaltninger, justering af sikkerhedskontrol baseret på kriticiteten af systemer og data, prioritering af sikkerhedsinvesteringer baseret på risikoanalyser.

Implementering af disse krav kræver en holistisk tilgang til cybersikkerhed, der dækker tekniske, operationelle og organisatoriske aspekter. Virksomheder skal tilpasse disse krav til deres specifikke situation og kontinuerligt gennemgå og forbedre dem.

Rapporteringspligter i NIS 2

Artikel 23 i NIS-2 direktivet opstiller klare rapporteringskrav for cybersikkerhedshændelser:

Tidligt varsel

Væsentlige og vigtige enheder skal indsende en tidlig advarsel til de kompetente myndigheder eller CSIRT (Computer Security Incident Response Team) uden unødig forsinkelse, og senest inden for 24 timer efter at være blevet opmærksom på en betydelig cybersikkerhedshændelse.

Mellemrapport

Inden for 72 timer efter det tidlige varsel skal en opdateret rapport indsendes, der indeholder en initial vurdering af hændelsen, dens alvor og effekt, og, hvor tilgængeligt, indikatorerne brugt til at identificere et kompromis.

Endelig rapport

Senest en måned efter indsendelse af mellemrapporten skal en endelig rapport leveres, der indeholder:

  • En detaljeret beskrivelse af hændelsen, dens alvor og effekt
  • Typen af trussel eller årsag, der sandsynligvis udløste hændelsen
  • Anvendte og igangværende afhjælpningsforanstaltninger
  • Hvis applicable, grænseoverskridende effekter af hændelsen

Sanktioner og håndhævelse

NIS-2 direktivet giver mulighed for effektive, proportionale og afskrækkende sanktioner ved overtrædelser:

Bøder

Virksomheder kan stå over for bøder på op til 10 millioner EUR eller 2% af global årlig omsætning, alt efter hvad der er højest.

Personligt ansvar

Ledelsesorgan kan holdes ansvarlige for manglende overvågning og håndhævelse af NIS-2 forpligtelser.

Midlertidige forbud

Directører kan midlertidigt blive forbudt i at udøve ledelsesopgaver.

Forskel fra Cyber Resilience Act (CRA)

Mens NIS-2 direktivet fokuserer på sikkerheden af netværks- og informationssystemer i kritiske sektorer, målretter Cyber Resilience Act (CRA) specifikt cybersikkerheden af produkter med digitale elementer. Det er vigtigt at forstå forskellene og synergierne mellem disse to EU-forordninger:

NIS 2 CRA
Fokus Fokuserer på organisatoriske og proces-relaterede aspekter af cybersikkerhed i specifikke sektorer. Målretter produktsikkerhed og fokuserer på hele forsyningskæden af produkter med digitale elementer.
Anvendelsesområde Gælder for virksomheder og organisationer i definerede kritiske sektorer. Vedrører producenter, importører og distributører af produkter med digitale elementer, uanset sektor.
Krav Kræver risikostyringsforanstaltninger, rapporteringspligter og organisatoriske sikkerhedsforanstaltninger. Kræver overvejelse af cybersikkerhed i produktdesign, konformitetsvurderinger og kontinuerligh sårbarhedsstyring gennem hele produktets livscyklus.
Tidslinje Transposition til national lovgivning senest oktober 2024. Forventet at træde i kraft i 2024, med en 24-måneders overgangsperiode for de fleste bestemmelser.

For mange virksomheder, især dem der både driver kritisk infrastruktur og producerer eller distribuerer produkter med digitale elementer, vil begge forordninger være relevante. En holistisk tilgang, der adresserer både NIS-2 og CRA, er derfor vigtig.

Implementering og tidslinje for NIS 2

EU-medlemsstaterne har indtil 17. oktober 2024 til at transponere bestemmelserne i NIS-2 direktivet til national lovgivning. Bemærk dog følgende:

  • Forskellige transpositionshastigheder: ikke alle lande vil nå deadline, hvilket kan føre til en ujævn implementering.
  • Nationale tilpasninger: nogle lande kan udvide eller justere direktivets krav, hvilket resulterer i forskelle mellem medlemsstater.
  • Gradueret implementering: virksomheder bør forvente en gradueret udrulning og mulige justeringer til krav over tid.

For en opdateret oversigt over implementeringsstatus i forskellige EU-lande anbefaler vi vores artikel "NIS 2-Umsetzung in Europa: Ein Überblick über den aktuellen Stand". Denne artikel giver værdifulde indsigter i de forskellige tilgange og fremskridt fra medlemsstater ved implementering af direktivet.

Konklusion

NIS-2 direktivet repræsenterer et betydeligt skridt mod forbedring af cybersikkerhed i EU. Det stiller betydelige udfordringer for virksomheder, men tilbyder også muligheden for omfattende at styrke cybersikkerhed og øge modstandsdygtighed mod trusler. En proaktiv tilgang og tidlig engagement med direktivets krav er afgørende for virksomheder for at være velreformerede og minimere potentielle risici.