NIS2-direktivet stiller skærpede krav til cybersikkerhed. Se om din virksomhed er omfattet og hvordan du sikrer compliance inden oktober 2024.
NIS2-direktivet skærper kravene til cybersikkerhed for en lang række virksomheder og offentlige myndigheder i samfundskritiske sektorer og indebærer både bøder og personligt ledelsesansvar ved manglende efterlevelse.
Overblik over NIS2-direktivet
NIS2-direktivet træder i kraft den 17. oktober 2024 og udvider markant, hvilke organisationer der er omfattet af skærpede krav til informationssikkerhed og driftsstabilitet, særligt inden for sektorer med samfundskritiske funktioner.
Hvem er omfattet?
Størrelse: Virksomheder og myndigheder med over 50 ansatte eller en omsætning på mindst 10 millioner euro.
Sektorer: Enheder i samfundskritiske sektorer som energi, transport, sundhed, finans og digital infrastruktur.
Ledelsens ansvar
Direkte ansvar: Virksomhedsledelsen har nu personligt ansvar for at sikre implementering og dokumentation af relevante sikkerhedsforanstaltninger.
Styring: Der kræves aktiv risikostyring, hændelseshåndtering og opfølgning på cybersikkerhed.
Centrale krav i direktivet
- Risikoanalyse: Systematisk identifikation og vurdering af sikkerhedsrisici.
- Forretningskontinuitet: Planer for driftsafvikling, beredskab og genopretning ved hændelser.
- Leverandørstyring: Kontrol med tredjeparter og underleverandører, herunder kontraktuelle krav til sikkerhed.
- Adgangskontrol: Styring af brugeradgange, privilegerede konti og autentifikation.
- Løbende træning: Regelmæssig cybersikkerhedstræning af medarbejdere og ledelse.
Sanktioner og ledelsesansvar
Bøder: Manglende efterlevelse kan medføre bøder op til 10 mio. euro eller 2 procent af omsætningen for væsentlige enheder.
Personligt ansvar: Direktivet indebærer personligt ledelsesansvar ved grov eller gentagen manglende compliance.
Anbefalede forberedelsesskridt
Vurder omfang: Afklar om organisationen er en væsentlig eller vigtig enhed, og hvilke systemer og processer der er omfattet.
- Gapanalyse: Sammenlign nuværende sikkerhedsniveau med NIS2-kravene og identificer mangler.
- Risikovurdering: Gennemfør en struktureret risikovurdering af kritiske aktiver, systemer og leverandører.
- Implementering: Etabler nødvendige it-kontroller, governance-strukturer og ledelsesprocesser for styring af cybersikkerhed.
- Dokumentation og revision: Sikr løbende dokumentation, overvågning og revision, så efterlevelse kan påvises over for myndigheder.
Udvidet omfang: NIS2 hvem er omfattet og hvilke sektorer rammes
NIS2-direktivet har markant udvidet, hvem der er omfattet. Over 160.000 virksomheder og myndigheder i hele EU skal nu forholde sig til nye krav om cybersikkerhed. Vi anbefaler, at du undersøger, om din virksomhed falder ind under de nye regler. Du er typisk omfattet, hvis din virksomhed har 50 eller flere ansatte eller en årlig omsætning på mindst 10 millioner euro og opererer i en relevant sektor.
Der er to kategorier: væsentlige enheder og vigtige enheder. Væsentlige enheder møder de skrappeste krav og strengere sanktionsmuligheder. Mindre virksomheder er generelt undtaget, hvis de har færre end 50 ansatte og en omsætning under 10 millioner euro, bortset fra særligt kritiske eller unikke tjenesteudbydere, som alligevel kan blive omfattet.
Danske myndigheder udpeger præcist, hvilke organisationer der er underlagt NIS2. Vi anbefaler derfor løbende at holde øje med nationale vejledninger og udmeldinger.
Brancher og sektorer der rammes
Direktivet sikrer, at en lang række sektorer nu skal løfte deres cybersikkerhed betragteligt. Herunder får du et overblik over sektorerne:
Væsentlige sektorer:
Energi (fx el, olie, gas)
Transport (fx jernbane, luftfart, søfart, vejtransport)
Bankvæsen og finansiel infrastruktur
Sundhedssektoren
Drikkevand og spildevand
Digital infrastruktur (fx cloud-tjenester, domæneregistre, udbydere)
Offentlig administration
Rumfart
Vigtige sektorer:
Post- og kurertjenester
Affaldshåndtering
Kemikalieindustrien
Fødevareproduktion og -distribution
Produktionsvirksomheder
Digitale tjenesteudbydere (herunder online markedspladser og søgemaskiner)
Forskning
Hvis din organisation opererer i en af disse sektorer og opfylder størrelseskriteriet, bør du tage stilling til kravene i NIS2-direktivet og forberede dig grundigt. Vi anbefaler at læse mere om, hvem der er omfattet, og hvordan du forbereder din virksomhed på NIS2. Forstærket cybersikkerhed giver ikke bare beskyttelse mod trusler, men viser også ansvarlighed over for dine kunder og partnere.
Strengere krav til cybersikkerhedsledelse og risikostyring med NIS2
NIS2-direktivet stiller større krav til virksomhedsledelse og risikostyring. Det betyder, at vi skal arbejde målrettet med både tekniske løsninger og organisatoriske processer for at sikre, at din virksomhed lever op til de nye forventninger. Ledelsen har nu et direkte ansvar for at overvåge, godkende og dokumentere sikkerhedsforanstaltninger, der beskytter virksomhedens kritiske aktiver mod angreb og hændelser.
Obligatoriske minimumskrav: Hvad skal du leve op til?
Du skal sørge for, at organisationen har styr på en række faste krav. Følgende punkter skaber et overblik over, hvad du skal implementere for at være compliant med NIS2-direktivet:
Regelmæssig risikoanalyse og dokumenterede sikkerhedspolitikker: Vi skal kortlægge virksomhedens vigtigste digitale aktiver og vurdere risici løbende. Alt skal kunne dokumenteres for at vise myndighederne, at I har styr på sikkerheden.
Effektiv hændelseshåndtering og rapporteringspligt: Når en sikkerhedshændelse sker, skal den behandles hurtigt og effektivt. Du har rapporteringspligt. Myndighederne skal have en tidlig advarsel inden for 24 timer og en detaljeret hændelsesmeddelelse senest 72 timer efter, at du har konstateret hændelsen. Den endelige rapport skal indsendes inden for én måned.
Forretningskontinuitet, krisestyring og backup: Vi skal etablere nødplaner, så driften kan fortsætte under tekniske kriser og cyberangreb. Løbende backup og træning i krisestyring er et krav.
Sikkerhed i forsyningskæden og hos leverandører: Ansvar for sikkerheden stopper ikke ved virksomhedens dør. Du skal stille sikkerhedskrav til alle væsentlige leverandører og sørge for løbende kontrol.
Security by design i systemudvikling: Sikkerhed skal være indbygget fra start, hver gang du udvikler nye systemer eller løsninger. Dette omfatter adgangskontrol, kryptering og løbende opdateringer.
Robust adgangskontrol og personalesikkerhed: Du skal etablere klare roller med adgang til følsomme data efter behov. Baggrundstjek og introduktion til sikkerhed for nye ansatte anbefales.
Multifaktorautentificering og avanceret identitetsstyring: Dit system skal understøtte moderne login-metoder (f.eks. brug af apps og biometriske løsninger) der beskytter mod uautoriseret adgang.
Anvendelse af kryptering: Alle følsomme oplysninger og data skal være krypteret både under overførsel og ved opbevaring.
Cybersikkerhedstræning for ansatte og ledelse: Du skal sikre, at både ansatte og ledelse løbende deltager i træning og holder sig opdateret på aktuelle trusler.
Løbende evaluering af sikkerhedstiltag: Indsatser og processer skal evalueres og forbedres løbende, så de altid matcher risikobilledet.
Praktiske værktøjer og anbefalinger
For at kunne styre og dokumentere alle disse krav kan du med fordel bruge værktøjer som SIEM-løsninger (for eksempel Splunk eller QRadar), Endpoint Detection & Response (EDR) systemer som CrowdStrike og IAM-platforme som Okta eller Microsoft Entra ID. GRC-platforme hjælper dig med at håndtere retningslinjer og compliance, mens sårbarhedsscannere hurtigt kan finde svagheder i dine systemer.
Opkvalificering og viden er afgørende. Derfor anbefaler vi, at både ledelse og medarbejdere deltager i specifikke kurser og træning. Du kan få brugbare indsigter og konkrete råd i eksempelvis vores webinar om seks råd til at gøre virksomheden sværere at hacke.
Hvis du vil arbejde dybdegående med de organisatoriske og tekniske aspekter, giver vores forklaring af hvad er NIS2 og hvilke krav direktivet stiller, en god basis at bygge videre på.
Effektiv hændelseshåndtering og incident response kræver faste processer og præcis rapportering. Efter NIS2-direktivet er første skridt en tidlig advarsel til den nationale myndighed inden for 24 timer. Dernæst følger en mere dybdegående hændelsesmeddelelse inden for 72 timer og til sidst en endelig rapport inden for én måned. Her hjælper automatiserede log- og rapporteringsværktøjer.
Cybersikkerhedsledelse handler lige så meget om forankring og løbende forbedring, som det handler om teknologi. Hvis du søger sparring eller hjælp med overblik over it-sikkerhedsløsninger og implementering af NIS2 krav, skaber det både tryghed og bedre beskyttelse af virksomheden.
Sanktioner, bøder og ledelsesansvar ved manglende overholdelse
Forståelsen af sanktioner og ledelsesansvar under NIS2-direktivet bør stå centralt for enhver virksomhed, der håndterer kritisk infrastruktur eller essentielle tjenester. Manglende overholdelse kan ramme hårdt både økonomisk og personligt for ledelsen.
Bøder for væsentlige og vigtige enheder
Bøderne under NIS2-direktivet er skrappe og kan sammenlignes med de hårdeste sanktioner under GDPR. For væsentlige enheder, som ofte tæller større virksomheder, lyder maksimumsbøden på op til 10 millioner euro eller 2 procent af virksomhedens årlige globale omsætning, og det er det højeste af de to tal, der er gældende. Vigtige enheder (ofte mindre kritiske aktører) risikerer op til 7 millioner euro eller 1,4 procent af deres årlige omsætning globalt. Det sender et klart signal om direktivets alvor og dets krav til cybersikkerhed.
Ledelsesansvar og øget bestyrelsesfokus
Direktivets store nyhed er det direkte ledelsesansvar. Vi oplever ofte, at cybersikkerhed hidtil har ligget hos it-chefen. Med NIS2-direktivet bliver det en opgave og et ansvar, der tager plads på øverste ledelsesniveau. Bestyrelsesmedlemmer og direktører kan holdes direkte ansvarlige for manglende efterlevelse og utilstrækkelige tekniske eller organisatoriske foranstaltninger. Det bør give anledning til at opdatere risikostyring, rapporteringsprocedurer og investeringer i it-sikkerhed.
Konsekvenser ud over bøder
Ud over de økonomiske sanktioner bør vi gøre opmærksom på, at konsekvenserne kan ramme langt bredere. Disse kan blandt andet inkludere:
- Tab af omdømme: Tilliden blandt kunder og samarbejdspartnere svækkes, hvis virksomheden rammes af it-sikkerhedshændelser, der kunne være forhindret.
- Mistet kundetillid: Kunder vælger ofte leverandører med stærke sikkerhedsforanstaltninger, og et brud kan koste forretning.
- Negativ medieomtale: Offentlig omtale af sikkerhedsbrud kan præge virksomhedens image i lang tid.
- Driftsforstyrrelser: Angreb eller brud på it-sikkerheden kan lamme kerneforretningen og koste dyrt i mistede omsætningstimer.
- Økonomiske tab: Ud over bøder kan omkostningerne ved oprydning, tabt forretning og genopretning af drift løbe højt op.
De danske tilsynsmyndigheder har ifølge NIS2-direktivet beføjelse til at gennemføre skærpet kontrol, kræve dokumentation, foretage revisioner og pålægge afhjælpende foranstaltninger straks, hvis sikkerheden vurderes utilstrækkelig. Sanktionerne er kun lidt lavere end GDPR’s maksimale bøder, hvilket underbygger, hvor vigtigt det er at tage direktivet alvorligt.
Vi anbefaler at læse alt om kravene i NIS2-direktivet for en samlet forståelse af rammerne, samt at benytte konkrete råd til it-sikkerhed for at minimere risici og undgå bødesanktioner.
Sådan gør din virksomhed sig klar til NIS2-direktivet
Det gælder om at gøre virksomheden klar, inden NIS2-direktivet træder i kraft i Danmark den 17. oktober 2024. Flere detaljerede krav og frister vil formentlig blive fastlagt i 2025, så det er vigtigt at gå struktureret til værks allerede nu.
Trin for trin mod overholdelse
Her guider vi dig igennem de nøgletrin, du skal tage for at sikre, at virksomheden lever op til NIS2-direktivet:
Vurder omfanget: Først skal du finde ud af, om virksomheden overhovedet er omfattet. Tag stilling til: Hvad er NIS2? Har I 50 ansatte eller derover, eller en årlig omsætning over 10 mio. euro? Hvilken kategori falder virksomheden under: essentiel eller vigtig? Læs mere om NIS2, hvem er omfattet, og vurder hvorvidt reglerne rammer jer.
Gapanalyse: Sammenlign virksomhedens nuværende IT-sikkerhed med de krav, som NIS2-direktivet stiller. Identificer hvor der er mangler, både teknisk og organisatorisk.
Risikovurdering: Kortlæg alle kritiske aktiver. Kig grundigt på forsyningskæden og vurder alle relevante risici: Hvilke systemer ville forårsage store problemer, hvis de blev kompromitteret? Overvej trusler som ransomware, insidertrusler og leverandørrisici.
Implementering og opgradering: Tag fat hvor analysen viser svagheder. Det kan kræve, at du opdaterer politikker og procedurer, investerer i nye tekniske løsninger, forbedrer hændelsesrapporteringen og styrker træning og forsyningskædesikkerhed. Her kan du finde hjælp til forståelse af IT-sikkerhed i virksomheden.
Ledelsesforankring: Ledelsen skal være engageret og involveret. Udpeg en ansvarlig, enten en dedikeret person eller et team, der står for arbejdet med compliance og rapportering i forhold til NIS2.
Dokumentation og revision: Hold styr på al dokumentation (politikker, rapporter, hændelser og beslutningsprocesser). Sørg for løbende revision, så indsatsen ikke mister kraft over tid.
Praktiske råd til forberedelse
Der er flere vigtige anbefalinger, der kan lette processen:
- Begynd allerede nu. Vent ikke til sidste øjeblik for at undgå stress og flaskehalse med leverandører.
- Prioriter områder med størst sårbarhed først; det giver mest effekt med mindst indsats.
- Involver medarbejdere gennem træning og awareness, så sikkerhed bliver en integreret del af kulturen. Få konkrete tips på vores webinar om hacking.
- Vælg dokumentationsværktøjer, der kan følge virksomheden fremover.
- Arbejd målrettet og skab et solidt grundlag, så du står bedst muligt, når NIS2-direktivet bliver håndhævet.
Kilder:
European Parliament and Council: Directive (EU) 2022/2555 on measures for a high common level of cybersecurity across the Union (NIS2 Directive)
European Commission: Questions and Answers on the NIS2 Directive
ENISA (European Union Agency for Cybersecurity): Publications and guidance on NIS2
