Der er mange paralleller mellem GDPR, NIS og den nye NIS2. Alle handler de om at tage ansvar, styrke it-sikkerheden og anlægge en risikoparat tilgang til den daglige drift. Benytter du i forvejen Lexoforms’s løsning, kan du også bruge den til fx at oprette NIS2-relevante kontroller, og derfor stiller vi i denne artikel skarpt på NIS2.
NIS2 er på vej…
I 2016 vedtog EU-Parlamentet et direktiv, der skulle sikre et højt fælles digitalt sikkerhedsniveau i hele EU. Net- og Informationssikkerhedsdirektivet (NIS) trådte i kraft i 2018, og havde til formål at harmonisere og skærpe reglerne om IT-sikkerhed gennem øgede krav til forsyningsvirksomheder og andre kritiske operatører samt digitale udbydere.
I 2022 blev direktivet opdateret og udvidet, så det nu omfatter flere sektorer, herunder offentlig forvaltning samt spildevands- og fødevaresektoren inkl. hele forsyningskæden. Formålet er fortsat at sikre infrastruktur og samfundskritiske tjenester mod nedbrud og cybertrusler via et ensartet, højt sikkerhedsniveau i hele EU. NIS2-direktivet træder i kraft medio 2024.
De højere sikkerhedskrav og mere strømlinede rapporteringsforpligtigelser bakkes op af ensrettet håndhævelse og sanktioner i hele EU, og derfor vil der fremover blive holdt skarpere tilsyn. Desuden kan ledelsen nu også holdes ansvarlig.
HVEM skal efterleve NIS2-kravene?
NIS2 udvider omfanget af omfattede enheder markant, da målet er at dække alle organisationer, der varetager vigtige funktioner i samfundet. NIS2 omfatter primært virksomheder med over 50 ansatte og en årlig omsætning på € +10 mill., som alle leverer væsentlig eller vigtig infrastruktur.
“Væsentlig” er offentlige og private enheder inden for:
- Energi (el, fjernvarme, olie, gas og brint)
- Transport (fly, tog, vand og vej)
- Bankvirksomhed (kreditinstitutter)
- Finansielle markedsinfrastrukturer (markedspladser)
- Sundhedssektoren (fx sundhedstjenesteydere og producenter af lægemidler)
- Drikke- og spildevand
- Digital infrastruktur (fx cloud, datacentre, domæneudbydere og offentlige kommunikationsnet)
- Informations- og kommunikationstjenesteudbydere (IKT-tjenester)
- Udbydere af managed services og managed security services
- Offentlig forvaltning (ekskl. Folketinget, domstolene og Nationalbanken)
- Rummet (operatører af jordbaseret infrastruktur)
“Vigtig” omfatter offentlige og private enheder inden for:
- Post- og kurértjenester
- Affaldshåndtering
- Fremstilling og distribution af kemikalier
- Fremstilling, bearbejdning og distribution af fødevarer
- Fremstilling af bl.a. elektronik, maskiner og motorkøretøjer
- Udbydere af visse digitale tjenester (onlinemarkedspladser og -søgemaskiner samt SoMe)
- Forskning
I alt omfatter NIS2 i Danmark ca. 1.400 større leverandører af væsentlige eller vigtige tjenester til samfundet – samt deres underleverandører.
HVILKE krav stiller NIS2 til jer?
I praksis skal virksomheden indarbejde en risikobaseret tilgang, få udført risikovurdering samt forankre en grundig forståelse for informationssikkerhed og sikkerhedsrisici på alle niveauer. Derfor stiller NIS2 krav til både ledelse, risikostyring, forretningskontinuitet og rapportering.
- Ledelsen skal kende og overholde krav og risikostyringsindsats og har et direkte ansvar for, at cyberrisici bliver identificeret og håndteret.
- Virksomheden skal risikostyre og implementere foranstaltninger, der minimerer risici og konsekvenser, herunder sikre forsyningskæder, netværk, adgangskontrol og kryptering.
- Virksomheden skal kunne sikre forretningskontinuitet ved en større cyberhændelse inkl. genopretning af systemer, nødprocedurer og etablering af en kriseorganisation mv.
- Virksomheden skal have processer for korrekt rapportering til myndighederne, herunder at større hændelser rapporteres inden for 24 timer
Ledelsesmæssig forankring
Ift. NIS skærpes ansvaret i NIS2, så det ikke kun pålægges virksomheden, men også dens ledelse. Derfor vægtes ledelsens ansvar langt højere, så det nu er ledelsens ansvar at godkende og sikre sikkerhedsforanstaltninger samt føre tilsyn med IT-sikkerheden.
Ledelsen er direkte ansvarlig for, at ovenstående overholdes, ligesom de også skal kunne bevise, at relevante sikkerhedskontroller bliver udført. Hvis ikke, kan ledelsen nu sanktioneres direkte.
Derfor skal ledelsen løbende uddannes for at vide, forstå og handle på risici vedr. cybersikkerhed, samt kunne vurdere disses indvirkning på virksomhedens drift.
Risikostyring og sikkerhedsforanstaltninger
Virksomheden skal lave passende og forholdsmæssige tekniske og organisatoriske foranstaltninger for at styre risici og begrænse skaderne ved et eventuelt sikkerhedsbrud. Disse omfatter:
- Politikker for risikoanalyse og informationssikkerhed
- Håndtering af hændelser
- Driftskontinuitet og krisestyring
- Forsyningskædesikkerhed
- Sikkerhed ifm. net og informationssystemer inkl. offentliggørelse af sårbarheder
- Politikker og procedurer til at vurdere effektiviteten af måden, sikkerhedsrisici håndteres
- Retningslinjer for basal “computer hygiejne” og træning i cybersikkerhed
- Politikker for brug af kryptografi og kryptering
- Medarbejdersikkerhed, adgangskontrol og asset management
- Sikring af interne kommunikationssystemer.
Underretningspligt
Virksomheden skal hurtigst muligt og indenfor 24 timer underrette den relevante myndighed (i Danmark er det Center for Cybersikkerhed, CFCS), hvis der sker en væsentlig hændelse.
En hændelse er væsentlig, hvis den har forårsaget eller potentielt kan forårsage væsentlige leverings- eller driftsforstyrrelser eller økonomiske tab for virksomheden – eller den har (eller kan) påvirke andre personer gennem betydelige materielle eller immaterielle tab.
Tilsyn, håndhævelse og sanktioner
Med NIS2 skærpes det nationale tilsyn, så det overfor væsentlige enheder nu skal være proaktivt, mens det for vigtige enheder fortsat blot er opfølgende. CFCS kan sanktionere ved at udstede advarsler og pålæg, tvungne revisioner, administrative bøder og i værste fald suspendere ledelsen.
HVORDAN bliver I klar til NIS2?
Uanset om du ved, at I er omfattet af NIS2 (eller du bare har det på fornemmelsen), er det en god idé allerede nu så småt at forholde sig til NIS2 – også selvom der stadig er elementer, der ikke er 100% afklaret. Desuden er det på alle måder en god anledning til at få styr på jeres it-sikkerhed.
Var I omfattet af NIS-direktivet, skal der stadig gøres en del ift. NIS2 – og var I ikke, er det typisk ret omfattende at implementere NIS2 fra bunden. Derfor er det en god idé at lægge en samlet plan for implementering og vedligeholdelse af kravene i NIS2.
Sådan kommer I bedst i gang med NIS2
Helt overordnet skal der skabes overblik over processer, systemer og kontrakter med leverandører og evt. kunder, der potentielt er omfattet af NIS2 – samt ikke mindst krisestyring og beredskab. Et godt overblik over de mest kritiske systemer, data og aktiver letter samtidig arbejdet med siden at risikovurdere og implementere relevante sikkerhedsforanstaltninger.
Tager I udgangspunkt i jeres konkrete situation og udfordringer, kan det lette implementeringen, og samtidig sikre et mere helhedsorienteret overblik. Samtidig øger det sandsynligheden for, at risici håndteres ud fra en fælles forståelse for opgavens formål og omfang.
Derfor er det også afgørende at sikre involvering og opbakning fra ledelsen helt fra starten. Dels fordi det er et indbygget krav, dels fordi NIS2 går på tværs af jura, it og organisation.
1. Er I klar?
Først skal I lave en modenhedsvurdering af, hvad det vil kræve for jer at efterleve NIS2. Hvor står I, hvor skal I sætte ind, og hvad kræver det? Og er ledelsen med?
2. Sæt barren rigtigt
NIS2 omfatter alene driftskritiske processer, mennesker, teknologier og leverandører, og derfor skal I kun identificere de driftskritiske aktiver.
3. Bliv inspireret af internationale standarder
Ifølge NIS2 skal I implementere et ledelsessystem for cyber- og informationssikkerhed. Her kan internationale standarder som fx. NIST, IEC og ikke mindst ISO 27001 være gode at læne sig op ad.
4. Vurdér og forebyg
I skal risikovurdere samtlige (samfunds) kritiske aktiver inkl. jeres forsyningskæde og leverandører, og så skal I beskrive den risikoproces, I vil bruge inkl. forebyggende foranstaltninger, I vil indføre.
5. Rapportering
Hvis der sker en hændelse skal I inden 24 timer kunne rapportere denne til CFCS (Center for Cybersikkerhed), der også skal holdes opdateret på status og mulige kompromitteringer.
6. En løbende proces
For at sikre en dynamisk risikobaseret tilgang skal I løbende revurdere og gentage både modenheds- og risikoprocessen, så risici bliver afdækket og minimeret.
En mere ansvarlig it-infrastruktur
Alle aspekter af NIS2 er endnu ikke helt klarlagt, men der er ingen tvivl om, at NIS2 kommer, og at den vil sætte et endnu større fokus på virksomheders it-sikkerhed og samfundsmæssige ansvar. Nøjagtig ligesom GDPR.