Hvilke minimumskrav er der i NIS2?

NIS2 stiller en række skærpede krav til ledelsen, risikostyring samt hændelsesrapportering, som virksomhederne, der er omfattet af NIS2, skal leve op til – og dermed indirekte også deres it-leverandører.

1. Disse krav indeholder NIS2 til ledelsen ​

NIS2-direktivet (artikel 20) stiller en række krav til virksomhederne, som det er vigtigt, at ledelsen tager ansvaret for.

Som noget nyt skal ledelsen:

• Godkende de foranstaltninger virksomheden har til styring af cybersikkerhedsrisikoen (artikel 21)​
• Føre tilsyn med, at foranstaltningerne er implementeret (og kan holdes ansvarlig ved misligholdelse)​
• Deltage i relevante kurser og tilbyde ansatte at følge kurser/uddannelse i NIS2​
• Opnå tilstrækkelige kundskaber og færdigheder til at kunne identificere risici og vurdere metoderne til styring af cybersikkerhedsrisikoen og deres indvirkning på de tjenester, der leveres af virksomheden.

2. Disse krav indeholder NIS til risikostyring

I henhold til NIS2 (artikel 21) skal en virksomhed som minimum træffe foranstaltninger, der omfatter alle farer og sigter på at beskytte net- og informationssystemer og disse systemers fysiske miljø mod hændelser, og mindst omfatter følgende:

1. Politikker for risikovurdering og informationssikkerhed i systemer
2. Håndtering af hændelser
3. Forretningskontinuitet, såsom backupstyring og katastrofegendannelse samt krisestyring
4. Sikkerhed i forsyningskæden, herunder sikkerhedsmæssige aspekter vedrørende relationerne mellem hver enhed og dens direkte leverandører eller tjenesteudbydere
5. Sikkerhed i anskaffelse, udvikling og vedligeholdelse af netværks- og informationssystemer, herunder håndtering og afsløring af sårbarheder
6. Politikker og procedurer for vurdering af effektiviteten af foranstaltninger til cybersikkerhedshåndtering af risici
7. Grundlæggende cyberhygiejnepraksis og cybersikkerhedstræning
8. Politikker og procedurer for brug af kryptografi og, hvor det er relevant, kryptering
9. Human ressourcesikkerhed, adgangskontrolpolitikker og aktivstyring
10. Brug af multifaktorgodkendelse eller løsninger til kontinuerlig godkendelse, sikret stemme-, video- og tekstkommunikation og sikrede nødkommunikationssystemer inden for enheden, hvor det er relevant

3. Disse krav indeholder NIS2 til hændelsesrapportering ​

NIS2-direktivets artikel 23 stiller en række krav til, at virksomhederne skal rapportere cybersikkerhedshændelser til de kompetente myndigheder:

• Rapportere væsentlige sikkerhedshændelser inden for 24 timer​
• Fremsende en uddybende hændelsesunderretning inden for 72 timer​
• Fremsende endelig rapport inden for en måned efter den uddybende hændelsesunderretning (eller efter hændelsens ophør), der skal indeholde:​
  • En detaljeret beskrivelse af hændelsen, herunder dens alvor og indvirkning​
  • Den type trussel eller grundlæggende årsag, der sandsynligvis har udløst hændelsen​
  • Anvendte og igangværende afbødende foranstaltninger​
  • I givet fald de grænseoverskridende virkninger af hændelsen.

4. Særlige krav til it-virksomheder, der er direkte omfattet af NIS2

Eftersom udnyttelsen af sårbarheder i net- og informationssystemer kan forårsage betydelige forstyrrelser og skader, er hurtig identifikation og afhjælpning af sådanne sårbarheder en vigtig faktor med hensyn til at reducere risici. 

Virksomheder, der udvikler eller administrerer net- og informationssystemer, bør derfor indføre passende procedurer til håndtering af sårbarheder, når de opdages.

Da sårbarheder ofte opdages og offentliggøres af f.eks. kunder, bør du som it-leverandør indføre de nødvendige procedurer for at modtage sårbarhedsoplysninger fra tredjeparter. 

I den forbindelse indeholder de internationale standarder ISO/IEC 30111 og ISO/IEC 29147 vejledning om henholdsvis håndtering af sårbarheder og offentliggørelse af sårbarheder.

Styrkelse af koordineringen mellem f.eks. kunder og it-leverandøren er særlig vigtig med henblik på at understøtte den frivillige ramme for offentliggørelse af sårbarheder.

Koordineret offentliggørelse af sårbarheder betyder, at man skal have en struktureret proces for, hvordan sårbarheder rapporteres til it-leverandøren af potentielle sårbarheder, så det er muligt at diagnosticere og afhjælpe sårbarheden, inden detaljerede sårbarhedsoplysninger offentliggøres for tredjeparter eller offentligheden.

Koordineret offentliggørelse af sårbarheder bør også omfatte koordinering mellem f.eks. kunden og it-leverandøren med hensyn til tidspunktet for afhjælpning og offentliggørelse af sårbarheder.

Hvis du vil vide mere om NIS2

Da vi oplever en stor efterspørgsel på guides og hjælp til at kunne leve op til NIS2-direktivet, har vi lavet et lille NIS2-univers her på siden, hvor du kan finde forskellige beskrivelser, værktøjer og hjælp.

Universet vil løbende blive opdateret, efterhånden som der bliver mere offentliggjort mht. den danske implementering af NIS2-direktivet.

Besøg resten af vores NIS2-univers

• NIS2 univers
• Hvad er NIS2?
  • Hvem er omfattet direkte og indirekte af NIS2?
  • Hvilke minimumskrav er der i NIS2?
• Hvordan lever jeg op til NIS2?
  • Sådan kommer du i gang, hvis du er direkte omfattet af NIS2
  • Sådan kommer du i gang, hvis du er indirekte omfattet af NIS2
• Hvor får jeg hjælp med NIS2?
  • Medlemmerder kan hjælpe dig med NIS2