– Hvad er NIS2-direktivet, og hvordan påvirker det din virksomhed?
Læsetid: 10 minutter.
Det kommende NIS2-direktiv medfører skærpede krav til cybersikkerhed i hele EU, og påvirker langt flere virksomheder end det første NIS-direktiv. Hvad betyder NIS2 for din organisation, hvordan forbereder du dig– og hvordan kan NIS2 hjælpe dig med at rekvirere et potentielt større IT-budget?
NIS – hvad er det?
NIS står for ‘Network and Information Systems’, og NIS-direktivet er en fælles ramme for sikkerhed af disse systemer. Det første NIS-direktiv blev vedtaget af Europaparlamentet i 2016, og blev en del af dansk lovgivning i 2018. Det kommende NIS2-direktiv kan beskrives som en udvidelse af den eksisterende lov om NIS. Formålet med disse direktiver er at skabe en fælles retslig ramme for cybersikkerhed i EU’s medlemsstater med henblik på at øge robustheden i EU.
“Indførelsen af NIS2 vil ændre spillereglerne for cybersikkerhed i EU. At være proaktiv nu kan spare både tid og ressourcer i fremtiden, og samtidig øge virksomhedens troværdighed,” siger Johan Caripson, Commercial Business Manager hos GlobalConnect.
Hvad er nyt ved NIS2-direktivet?
Tre vigtige forskelle i det nye NIS2-direktiv er:
1. Flere sektorer inkluderes
Det første NIS-direktiv omfattede “operatører af væsentlige tjenester” i den private og offentlige sektor. Dette var derfor hovedsageligt gældende for bankvæsen, energisektoren, sundhedssektoren, transportområdet, digital infrastruktur og drikkevandsforsyning. NIS2 dækker flere sektorer, herunder offentlig forvaltning, spildevandshåndtering, fødevareproduktion, affaldshåndtering og digitale kommunikationstjenester.
2. Klarere krav til handling
NIS2 indfører et minimumskrav til handling, f.eks. i forbindelse med risikostyring i forsyningskæden. Hver medlemsstat skal sikre, at de berørte aktører træffer tekniske, operationelle og organisatoriske foranstaltninger for at øge cybersikkerheden. Det betyder blandt andet, at viden om cyberhygiejne skal forankres i de forskellige operationer gennem rutiner, zero trust-principper, uddannelse af medarbejdere og gennemgang af systemer.
3. Krav om mere detaljeret indberetning
Interessenterne vil skulle rapportere på et langt mere detaljeret niveau end tidligere, f.eks. i forbindelse med alvorlige sikkerhedsbrud.
Hvornår træder NIS2 i kraft?
NIS2 finder anvendelse i hele EU den 18. oktober 2024. Præcis hvordan ændringen vil påvirke lovgivning og aktiviteter i Danmark er endnu ikke helt klart, men erfaringsmæssigt ved man, at det kan tage lang tid at implementere nye initiativer, og derfor er rådet at begynde så hurtigt som muligt med at få indført ændringerne i virksomheden.
Hvad sker der, hvis min organisation ikke overholder NIS2?
Hvis din virksomhed er omfattet af NIS2, men ikke opfylder kravene i direktivet, kan det føre til bøder på op til 10 millioner euro eller to procent af virksomhedens globale omsætning.
Hvordan gør jeg min virksomhed klar til NIS2?
De foranstaltninger, der kræves for at gøre din virksomheds NIS2-compliant, afhænger af din nuværende situation. Men overordnet kan du drage nytte af følgende råd:
1. Antag, at din organisation er dækket af NIS2
Er du usikker på, om din virksomhed vil være omfattet af NIS2? Vent ikke på en endelig afgørelse, men antag, at du er berørt – enten direkte eller indirekte som en del af en længere forsyningskæde. Øget cybersikkerhed er altid en god investering, uanset lovkrav. Derudover styrker det din position på det marked, hvor du opererer. De virksomheder, som du leverer dine ydelser eller produkter til, vil fremover i langt højere grad lægge vægt på din compliance i jeres samarbejde.
2. Begynd at evaluere dine behov, og planlæg opgaver i god tid
Hvis du ikke allerede er startet, er det tid til at begynde. Husk, at hvert trin i processen – fra evaluering af din nuværende situation til opgradering af tekniske løsninger, opsætning af rutiner og træning af dit personale – har tendens til at tage meget længere tid, end du tror. Det kan virke som lang tid, men ti måneder er ikke længe, når det drejer sig om at implementere nye cybersikkerhedsregler i virksomheden – vent derfor ikke til sidste øjeblik med at handle.
3. Alloker tilstrækkelige ressourcer (eller arbejd smartere med eksisterende IT-budgetter)
Det er umuligt at sætte en nøjagtig pris på, hvad det vil koste din organisation at blive NIS2-kompatibel. Men der er stor risiko for, at du bliver nødt til at øge dit IT-budget – eller i det mindste bruge eksisterende penge på en mere effektiv måde. En måde at strømline ressourcer på er at samle dine netværkstjenester hos én udbyder.
Sådan kan NIS2 være en unik mulighed for at øge dit IT-budget
Hvis du arbejder med IT-problemstillinger, kan du sikkert nikke genkendende til, at IT skal fungere, men helst ikke koste. Ifølge en undersøgelse blandt it-chefer mener næsten fire ud af ti allerede, at deres budget ikke er rimeligt til opgaven. De fleste danske virksomheder ved, at cybertruslen er stigende, og mere end hver anden danske virksomhed står klar til at hæve IT-sikkerhedsbudgettet i de kommende år.
De økonomiske udsigter for en opgradering er således allerede top-of-mind for mange virksomheder, men NIS2-direktivet kan være et stærkt argument for, hvorfor IT skal have flere ressourcer. Det er betydeligt billigere at investere i en solid sikkerhedsstruktur i tide end at forsøge at lappe på tingene under tidspres, når lovgivningen træder i kraft. For ikke at nævne de bøder, organisationen kan modtage, hvis kravene ikke overholdes.
Hvis disse argumenter ikke er nok, kan du pege på risikoen for at gå glip af forretning, når dine eksisterende og potentielle kunder begynder at kræve NIS2-overholdelse. På sigt vil indførelsen af NIS2 også sætte en ny, højere standard for IT-sikkerhed generelt. Og så ønsker hverken du eller ledelsen, at din virksomhed skal skille sig ud som et mindre sikkert alternativ.