I efteråret 2022 forventes EU-medlemsstaterne, at stemme det nye Netværks- og Informationssikkerhedsdirektiv igennem. Direktivet er i daglig tale kendt som NIS2. To-tallet skyldes, at det er anden gang EU får et netværk- og informationssikkerhedsdirektiv, og NIS2 skal erstatte dens forgænger fra 2018. Forgængeren har nemlig vist sig at være for begrænset i forhold til de mange udfordringer, der ses på IT-sikkerhedsfronten. Når NIS2 i efteråret forventes at blive stemt igennem i Europarådet og Parlamentet, vil EU-medlemslandende have 21 måneder til at omsætte direktivet til national lovgivning, og sikre standarderne ved myndigheder og virksomheder.
Hvad er NIS2?
NIS2 skal være den nye standard for IT-sikkerhed i hele Europa, så virksomheder og borgere på tværs har en fælles forståelse af, og kriterier for, IT-sikkerhed. Det er særligt den kritiske infrastruktur, som skal kunne modstå de moderne cybertrusler.
NIS2 opdeler virksomheder, myndigheder og organisationer i to kategorier, der skal leve op til direktivets krav: Væsentlige og vigtige. Hvornår man er væsentlig og hvornår man er vigtig er en hel diskussion i sig selv, hvilket vi ikke komme dybere ind på. Nedenfor kan du se de væsentlige og vigtige sektorer:
Væsentlige | Vigtige |
Energisektoren | Post- og pakkelevering |
Transportsektoren | Fødevarefremstilling og produktion |
Bankvirksomhed | Affaldshåndtering |
Finansiel infrastruktur | Kemikalieproduktion og håndtering |
Sundhedssektoren | Digitale services |
Drikkevand | Produktions- og distributionsvirksomheder |
Spildevand | |
Digital infrastruktur | |
Offentlig administration | |
Rummet | |
Selvom små virksomheder vil blive udelukket fra forordningen, vil de fleste virksomheder - store som små - i både væsentlige og vigtige sektorer være omfattet, hvilket giver NIS2 langt bredere anvendelsesområde end dets forgænger. Det betyder, at virksomheder og organisationer er underlagt en række krav, der skal efterleves. Vi har opsummeret de mest væsentlige krav her:
Du skal have en politik for risici og informationssikkerhed.
Du skal have sikkerhedsforanstaltninger til håndtering af hændelser.
Du skal have sikkerhedsforanstaltninger til driftkontinuitet, backup og genskabelse.
Du skal have sikkerhedsforanstaltninger for at sikre din supply-chain (dem du leverer til, og dem der leverer til dig).
Hvis du anvender eller udvikler informationssystemer, skal der ligeledes være sikkerhedsforanstaltninger for disse.
Der skal ske løbende revidering og test af dine sikkerhedsforanstaltninger.
Såfremt du anvender eller udvikler kryptografi og kryptering i dine produkter skal der ligeledes være sikkerhedsforanstaltninger for disse.
Hvorfor skal jeg leve op til dette?
Cyberkriminelle, nationalstater og andre ondsindede aktører ændrer konstant deres teknikker, metodikker og mål. De seneste år har der været mange eksempler rundt omkring i Europa, hvor infrastrukturen er blevet ramt i et omfang, der kan være samfundsskadeligt. Desværre er tendensen, at hvis man rammer et kritisk led i en forsyningskæde, så kan et cyberangreb få alvorlige konsekvenser for mange virksomheder, organisationer og borgere.
På cyberområdet er det ikke en hemmelighed, at lovgivning ofte er bagefter udviklingen, og derudover tager lovgivning ofte mange år at udvikle, afstemme og implementere. Det betyder, at den juridiske retshåndhævelse på cyberfronten næsten altid er på bagkant når det kommer til at holde trit med de digitale trusler. NIS2 prøver derfor at tænke det fremtidige behov med ind i den juridiske proces, da vores samfund kun går i retning af mere digitalisering og automatisering.
Omfattende arbejde forude
For mange virksomheder vil implementering af NIS2 være både tidskrævende og omkostningsfuldt, hvis ikke en række af sikkerhedsforanstaltningerne allerede er tænkt ind i virksomheden eller organisationen. Kortlægning, dokumentation og senere praktisering af de nye krav kan dog være godt givet ud på sigt. En ekstra krølle er, at IT-sikkerhedsbranchen generelt mangler eksperter på en række områder, hvilket gør ydelserne både dyre og svære at få fat i med kort varsel, hvorfor det kan give mening at påbegynde arbejdet i god tid, og allerede før det bliver et lovkrav.
NIS2 viser også vejen for en udvikling, som vi længe har drøftet i Baerentzen Intelligence, hvor sikkerhed bliver en konkurrenceparameter. Det betyder, at kunder vil vælge virksomheder, der proaktivt går op i deres sikkerhed og gør hvad de kan for at beskytte deres egne, og kundernes data.
Slutteligt skal det bemærkes, at NIS2 ikke kun skal ses som en irriterende øvelse man som virksomhed skal igennem. Et cyberangreb vil ofte være både omkostningsfuldt i form af tabt fortjeneste og driftstab for din virksomhed og NIS2 kan være den løftestang, der gør at i får løftet jeres niveau, så i ikke er et aktivt mål. Husk også, at langtidsvirkningen fra et cyberangreb kan være forretningskritisk, hvis det viser sig, at angrebet kunne være undgået med ordentlige sikkerhedsforanstaltninger.
Ønsker du allerede nu at gøre din virksomhed mere sikker, så tøv ikke med at tage fat i os.