Nye regler på vej - alt hvad du bør vide om NIS 2

By 
Jacob Høedt Larsen
August 16, 2022

I denne artikel finder du alt hvad du bør vide om NIS 2. Artiklen tager udgangspunkt i, at du allerede ved, at du er omfattet.

NIS 2: Styrk din cybersikkerhed

Mange danske virksomheder bliver om kort tid omfattet af nye regler om cybersikkerhed -  ligesom det var tilfældet med GDPR i 2018. Det stiller krav om en ny måde at arbejde på, blandt andet arbejdet med standarder (ISO), struktureret risikostyring og indberetning af sikkerhedshændelser til myndighederne. Heldigvis…

Mangler du også overblikket?

NIS 2 direktivet giver déjà-vu til GDPR

Du har muligvis allerede hørt om det. NIS 2. Direktivet om Netværks- og Informationssikkerhed, som EU er ved at vedtage, og som skal være implementeret i virksomhederne midt i 2024.

Måske giver det dig et flashback til implementeringen af GDPR i 2018?

Situationen er da også på mange måder den samme.

  • Du har allerede travlt, hvis du skal nå det og
  • De konkrete krav er faktisk endnu ikke helt på plads - og kommer det næppe helt før 2024

Du har behov for at kunne sætte arbejdet i gang på en struktureret måde.

Sådan får du struktur på NIS 2-arbejdet

1. Er vi overhovedet omfattet?

Du starter med at finde ud af, om din virksomhed er direkte omfattet af direktivet.

Svaret er, at det er den formentlig, hvis du arbejder inden for følgende sektorer: Energi, transport, bankvirksomhed, finansielle markedsstrukturer, sundhed, drikkevand, spildevand, digital infrastruktur, offentlig forvaltning, rummet, post- og kurertjenester, affaldshåndtering, kemikalier, fødevarer, fremstilling af medicinsk udstyr, computere, elektrisk udstyr, maskiner, motorkøretøjer eller udbyder digitale services.

Du kan se mere i denne artikel om NIS 2-direktivet, som vi løbende opdaterer, når der kommer ny information.

2. Begynd arbejdet med ISO 27001/2

Hvis du ikke allerede har etableret et ISMS (Informations Security Management System) med udgangspunkt i ISO 27001 standarden, er det en god måde at komme i gang på. I direktivet lægges der op til, at man bør benytte ISO 27000-serien som basis for arbejdet med kravene i NIS2-direktivet.

3. Skab et rapporteringssystem til sikkerhedshændelser

Hvis din virksomhed bliver udsat for en væsentlig sikkerhedshændelse (fx databrud), skal du fra 2024 rapportere den til myndighederne (samt eventuelt andre grupper, som er berørte). Du har 24 timer til den første rapportering og en måned til at udarbejde en mere uddybende rapport.

Hvis sikkerhedshændelsen også omfatter personoplysninger, skal du samtidig indberette den til Datatilsynet.

Det er med andre ord fornuftigt, at du får et robust system til at håndtere sikkerhedshændelser på tværs af organisationen.

4. Få styr på de nye minimumskrav (lav en GAP-analyse)

Med NIS2 får du en række minimumskrav til din informationssikkerhed ind ad døren. En del af det får du foræret, når du arbejder med ISO 27001, men der vil formentlig være lidt mere, der skal gøres efter det nye direktiv træder i kraft.

I skrivende stund er kravene stadig meget løst beskrevet, men efterhånden som der kommer flere konkrete retningslinjer og mere kød på, vil de blive indarbejdet i Wired Relations-systemet.

5. Følg med

Hos Wired Relations følger vi løbende implementeringen af NIS 2, og vi vil stille information og viden til rådighed.

Tilmeld dig newsletter 'Sustainable Compliance' - så er du sikker på, at du får opdateret viden om NIS 2.