Hvad er NIS2?
NIS2 er EU’s opdaterede direktiv om cybersikkerhed med skærpede krav til både offentlige og private aktører med samfundskritiske funktioner.
Det dækker flere sektorer end tidligere og stiller krav til sikkerhed i leverandørkæden for at styrke EU’s samlede beskyttelse mod cybertrusler.
NIS2 er EU’s opdaterede direktiv om sikkerhed i net- og informationssystemer. Formålet med NIS2 er at løfte cybersikkerheden på tværs af EU ved at stille ensartede krav til både offentlige og private organisationer og virksomheder, der leverer væsentlige eller vigtige tjenester, der er kritiske for samfundet.
Direktivet bygger videre på det oprindelige NIS-direktiv fra 2016, men omfatter flere sektorer og stiller skærpede krav til cybersikkerheden i de virksomheder og enheder, der er omfattet. Lovgivningen er målrettet alt fra store, kritiske infrastrukturleverandører inden for eks. energi og sundhed til digitale platforme, cloududbydere og andre virksomheder, der understøtter samfundsvigtige funktioner.
NIS2 vil også indirekte få betydning for leverandører til virksomheder, der skal leve op til NIS2, da lovgivningen stiller skærpede krav til cybersikkerheden i leverandørkæden.
Hvorfor en opdatering?
Da det oprindelige NIS-direktiv blev vedtaget i 2016, var formålet at skabe et grundlæggende fælles sikkerhedsniveau i EU. Siden da er cybertruslerne blevet mere komplekse og omfattende, og vores afhængighed af digital infrastruktur er vokset betydeligt, både i offentlige tjenester, det private erhvervsliv og kritiske forsyningskæder. EU vurderede derfor, at der var behov for en opdatering, som:
- Indfører ensartede krav til risikostyring og sikkerhedsforanstaltninger
- Skærper reglerne for hændelsesrapportering
- Indfører krav til sikkerhed i forsyningskæden
- Harmoniserer sanktionsmuligheder på tværs af medlemslandene
Hvad betyder NIS2 for dig?
NIS2 kan gælde direkte for virksomheder i kritiske og vigtige sektorer, og indirekte for leverandører eller softwareudbydere til disse virksomheder. Det kommer det til at betyde for dig:
- Du skal selv vurdere, om din organisation er direkte omfattet af NIS2, hvilket i så fald kræver, at du registrerer dig hos den relevante sektoransvarlige myndighed
- De nye regler stiller krav til ledelsesansvar, sikkerhedsforanstaltninger, forsyningskædesikkerhed og beredskab mod cyberhændelser
- Som leverandør til en direkte omfattet NIS2-virksomhed, kan du blive indirekte påvirket af NIS2 og opleve, at din kunde stiller skærpede krav til din virksomheds cybersikkerhed
- De sektoransvarlige myndigheder vil føre tilsyn med de NIS2-omfattede virksomheder, og der kan være både administrative bøder og ledelses- og forretningsmæssige konsekvenser ved manglende regelefterlevelse
Få hjælp til NIS2 af IT-Branchens medlemmer
En række af IT-Branchens medlemmer tilbyder specialiseret rådgivning og løsninger, der kan hjælpe din organisation med at leve op til NIS2-direktivet. Det gælder både tekniske services, risikovurderinger, compliance-arbejde og beredskabsplaner.
Hvis I som virksomhed har brug for støtte til at forstå, implementere eller dokumentere jeres cybersikkerhedsindsats, kan I finde kvalificerede it-leverandører, der står klar til at hjælpe.
Er I selv it-leverandør med NIS2-relaterede rådgivning og løsninger?
Så kan I også blive synlige på listen over de virksomheder, der tilbyder ekspertise og hjælp.
Har du spørgsmål?
Kontakt Troels Johansen, som er ansvarlig for IT-Branchens policy board for cybersikkerhed, for yderligere information om NIS2.
