Danmark
NIS2 – hvordan påvirkes din virksomhed?
Hvad er NIS2?
NIS2-direktivet indebærer strengere krav til cybersikkerhed i hele EU og omfatter langt flere virksomheder end det første NIS-direktiv.
Men hvad betyder NIS2 for din organisation? Hvordan forbereder du dig bedst muligt? Og hvordan kan NIS2 hjælpe dig med at sikre et større IT-budget fra ledelsen?
NIS står for security of network and information systems. Det første NIS-direktiv blev vedtaget af Europa-Parlamentet og Rådet i 2016. Det nye NIS2-direktiv kan beskrives som en udvidelse af NIS. Formålet er at skabe fælles juridiske rammer for cybersikkerhed i EU-landene for på sigt at øge cyberresiliens i unionen.
– Indførelsen af NIS2 er en game-changer for cybersikkerhed i EU. At handle tidligt sparer både tid og ressourcer fremover og øger samtidig virksomhedens troværdighed, siger Johan Caripson, Commercial Business Manager i GlobalConnect.
Vigtige ændringer med NIS2
Tre centrale forskelle i forhold til det tidligere NIS-direktiv:
Det første NIS-direktiv gjaldt “leverandører af samfundsvigtige tjenester” inden for bank, energi, sundhed, transport, digital infrastruktur og drikkevand. NIS2 udvider dette og inkluderer flere sektorer som offentlig forvaltning, spildevandshåndtering og administration af IKT-tjenester.
Med NIS2 indføres et minimumskrav til foranstaltninger – blandt andet håndtering af risici i leverandørkæden. EU-landene skal sikre, at de berørte aktører gennemfører tekniske, operationelle og organisatoriske tiltag for at styrke cybersikkerheden. Dette inkluderer blandt andet rutiner for cyberhygiejne, Zero Trust-principper, medarbejderuddannelse og systemgennemgang.
Aktørerne skal rapportere alvorlige sikkerhedshændelser på et mere detaljeret niveau end tidligere.
Hvem er omfattet af NIS2?
Generelt gælder direktivet for virksomheder, der leverer samfundsvigtige eller samfundskritiske tjenester og opfylder bestemte størrelseskriterier.
For at være omfattet skal virksomheden som regel være en mellemstor eller stor virksomhed – defineret som mere end 50 ansatte eller en årlig omsætning/balance, der overstiger 10 millioner euro. Der findes undtagelser for visse særligt kritiske tjenester, såsom udbydere af elektroniske kommunikationsnetværk eller digitale tjenester.
Tidsplan for NIS2
Konsekvenser ved manglende overholdelse
Hvis virksomheden er omfattet af NIS2, men ikke opfylder kravene, kan det medføre bøder på op til 10 millioner euro eller 2 % af virksomhedens globale omsætning.
3 trin til at forberede virksomheden på NIS2
Er du usikker på, om din virksomhed er berørt? Så er det sikrest at antage, at I er det – enten direkte eller som en del af en leverandørkæde. Øget cybersikkerhed er altid en investering, og flere og flere kunder vil kræve NIS2-overholdelse fra underleverandører.
Fra vurdering af den nuværende situation til opgradering af løsninger, etablering af rutiner og træning af medarbejdere – processen tager ofte længere tid, end man tror. At vente og se, hvad andre gør, kan være en risikabel strategi.
Omkostningerne ved at blive NIS2-compliant varierer, men de fleste skal øge deres IT-budget – eller bruge de eksisterende midler mere effektivt. Et alternativ kan være at samle netværkstjenester hos én leverandør for bedre ressourceudnyttelse.
NIS2 gør cybersikkerhed til en budgetprioritet
Mange IT-ledere oplever allerede, at budgettet ikke er tilstrækkeligt – ifølge undersøgelser. Samtidig bliver cyberangrebene flere, mens investeringerne i sikkerhed halter bagefter.
NIS2 giver IT-ansvarlige stærke argumenter for at øge budgettet:
I forlængelse af dette vil NIS2 hæve standarden for IT-sikkerhed generelt – og ingen ønsker at fremstå som det usikre alternativ.
Vil du lære mere om NIS2?
Se vores optagede webinar, hvor cybersikkerhedseksperter forklarer, hvordan en moderne SOC-tjeneste fungerer – og hvordan du kan gøre virksomheden klar til NIS2.
