Hvad er formålet med NIS2?
Formålet med NIS2-direktivet er at højne cybersikkerheden i den kritiske infrastruktur i EU til et niveau, der svarer til den digitalisering, vi har på tværs af medlemslandene og til det trussels- og risikobillede, vi ser i dag.
NIS2 sigter mod at forstærke cybersikkerheden inden for EU gennem klare ansvarsområder, effektiv planlægning og øget samarbejde. Det omfatter oprettelsen af nationale myndigheder og planer for kriseberedskab samt etableringen af EU-CyCLONe, som er et netværk til koordinering af reaktioner på store cybersikkerhedshændelser.
Hvad er det vigtigste at vide om NIS2?
Det er væsentligt at vide, at NIS2 er et direktiv, som forpligter en række virksomheder til at leve op til nogle sikkerhedskrav. Disse krav vil ofte ligge i direkte forlængelse af det informationssikkerhedsarbejde, der allerede pågår i de enkelte virksomheder.
Hvad er det nye ved NIS2 i forhold til det første NIS-direktiv?
Først og fremmest bliver langt flere virksomheder nu omfattet af NIS-kravene. Derudover stilles der langt større krav om ledelsesforankring og ledelsens kendskab til risikostyring, ligesom der er mulighed for direkte sanktioner mod topledelsen i organisationer, der ikke lever op til direktivets krav.
Hvilke NIS2-krav er de vigtigste?
Det er svært at pege på et område i NIS2, som er vigtigere end andre. Derimod må det forventes, at nogle af kravene i NIS2 vil fylde mere end andre. For eksempel er kravet om forsyningskædesikkerhed en stor og ressourcetung opgave, hvor virksomhederne måske i forvejen halter bagefter med at få stillet de rigtige krav til leverandørerne.
Hvilke krav skal jeg stille til mine leverandører, og hvordan ved jeg, hvilke jeg skal være særligt opmærksom på?
De krav, du skal stille, afhænger af hvilken leverandør, der er tale om. Er det en leverandør, der leverer kritiske produkter, tjenester og løsninger til virksomheden, skal der stilles strengere krav, end hvis det var en uvæsentlig leverandør. Der kan blandt andet stilles krav til, at leverandøren skal foretage sikkerhedsvurderinger af sine ansatte, produkter og tjenester for at identificere eventuelle sårbarheder og risici.
Derudover bør der stilles krav til, at leverandøren skal implementere passende sikkerhedsforanstaltninger for at beskytte produkter og tjenester mod cyberangreb. Det kan være foranstaltninger såsom krav til patchning, anvendelse af firewall, anvendelse af kryptering samt sikker opbevaring af data.
Læs også: Stor enighed: Dem der allerede arbejder med en ISO standard er godt klædt på til NIS2
Hvordan vil myndighederne føre tilsyn med NIS2?
Det fremgår af NIS2 direktivet, at hver medlemsstat skal udpege eller oprette en eller flere myndigheder til at varetage tilsynsopgaven. I Danmark har Center for Cybersikkerhed en overordnet koordinerede rolle, mens det er de sektoransvarlige myndigheder, der er ansvarlige for at føre tilsyn med NIS2-kravene i deres respektive sektorer.
I "Udkast til forslag til lov om foranstaltninger til sikring af et højt cybersikkerhedsniveau" foreslås det, at de sektoransvarlige myndigheder skal anvende en forskellig tilgang i deres tilsyn med henholdsvis væsentlige og vigtige enheder. Der skal løbende udføres tilsyn med overholdelse af lovgivningen for væsentlige enheder, mens tilsynet med vigtige enheder først skal igangsættes, når der er tegn på, at lovgivningen ikke overholdes.
Hvad betyder det, hvis en virksomhed siger, at den har to systemer, som er underlagt NIS2?
Det behøver ikke nødvendigvis at være hele virksomheden, der er underlagt NIS2 kravene. Såfremt det kun er en del af virksomheden (og dennes ydelser), der anses for at være kritisk infrastruktur, vil det kun være systemer, der understøtter den del af forretningen, der er omfattet.
Hvad er forholdet mellem NIS2 og ISO27001/ISO27002?
ISO27001/02 er internationale standarder inden for informationssikkerhed og har på samme måde som NIS2 til formål at højne sikkerhedsniveauet i organisationer.
ISO27002 er en vejledning til, hvilke foranstaltninger en virksomhed med fordel kan implementere, hvorimod NIS2 er en lovgivning (direktiv), hvoraf det fremgår at en række foranstaltninger skal implementeres. Der er et stort overlap i forhold til de sikkerhedsforanstaltninger, der arbejdes med i ISO regi og i NIS2.
I NIS2 direktivet står det direkte, at virksomheder anbefales at tage udgangspunkt i en allerede kendt standard i forhold til informationssikkerhedsarbejdet for at sikre en struktureret tilgang til risikovurderingsarbejdet. Her nævnes ISO27000-serien som et eksempel. I Wired Relations har vi mappet NIS2 foranstaltningerne fra direktivets artikel 21 med ISO 27002:2022 foranstaltningerne.
Hvordan kan man strømline og automatisere NIS2-compliance?
Det er væsentligt at få skabt et overblik og en systematik omkring sit sikkerhedsarbejde.Automatisering af arbejdet omkring NIS2 kan gøres mere effektivt med værktøjer som Wired Relations ISMS-modul, som netop skaber det fornødne overblik, struktur og kontrol. Dette inkluderer funktioner, der giver overblik over systemer/leverandører, status på implementering af sikkerhedsforanstaltninger, risikostyring, hændelsesstyring og dokumentation for at sikre overholdelse og forbedre den overordnede cybersikkerhed.
Understøtter Wired Relations alle kravene i NIS2?
Wired Relations understøtter arbejdet med NIS2 foranstaltningerne i forlængelse af det eksisterende informationssikkerhedsarbejde. Man får et godt overblik over, hvor langt man er kommet med implementeringen af de enkelte foranstaltninger og de kontroller, der knytter sig hertil, da man kan hente NIS2 foranstaltningerne direkte ind i Wired Relations. Man kan således undgå dobbeltdokumentation samt lave rapporteringer målrettet NIS2.
Med Wired Relations kan man desuden invitere ledelsen ind i systemet, så de kan få overblik over den del af arbejdet, der er relevant for dem og selv få tildelt opgaver. Det kan sikre forankring.
Wired Relations understøtter også kravet om at foretage risikovurderinger ud fra et samfundsmæssigt perspektiv.
Alt i alt understøtter Wired Relations de kendte krav, men vi har hele tiden udvikling af løsningen for øje og følger udviklingen af NIS2 tæt.
Webinar: NIS2 – Hvordan kommer vi i mål
I et webinar har vi sammen med Malene Stidsen, Programchef for Cybersikkerhed i Industriens Fond og Jacob Herbst, CTO i Dubex og medlem af det Nationale Cybersikkerhedsråd taget temperaturen på NIS2. Vi snakker blandt andet om, hvad regeringens udskydelse af implementeringen betyder, og om NIS2 "bare" er papir og compliance.
Lyt til det nu, hvis du interesserer dig for NIS2 og vil have en status på, hvor andre er – samt vide, hvordan du selv skal forholde dig.
