I Danmark vurderes ca. 1.400 virksomheder og organisationer at blive direkte omfattet af NIS2 mod tidligere ca. 150 under NIS1.
I udgangspunktet er en virksomhed eller organisation omfattet, hvis den beskæftiger mere end 50 personer og har en årlig omsætning eller balance på mere end 10 mio. euro samt beskæftiger sig inden for udvalgte sektorer.
En god tommelfingerregel for at finde ud af, om din virksomhed er omfattet af NIS2, er:
- Hvis din virksomhed er omfattet af NIS1, er den det højst sandsynligt også af NIS2
- Læs bilagene til NIS2-direktivet (s. 64-70), der giver en mere udførlig beskrivelse af omfattede virksomheder
- At være opmærksom på, at en eller flere enkeltaktiviteter i din virksomhed kan medvirke til, at du er omfattet af NIS2
- At få hjælp til afklaring hos en cybersikkerhedsekspert eller en jurist med speciale i cybersikkerhed
Det skal du leve op til, hvis du er direkte omfattet af NIS2
Er din virksomhed direkte omfattet af NIS2, skal du gøre følgende otte ting, for at leve op til kravene i NIS2-direktivet:
1. Placer ansvar for implementering af NIS2 det rette sted
- Det overordnede ansvar for en rettidig og hensigtsmæssig implementering af NIS2 – og den efterfølgende vedligeholdelse af virksomhedens cybersikkerhedsindsats – skal forankres i ledelsesorganet, der også står til ansvar og kan sanktioneres for misligholdelse af NIS2, jf. artikel 20.
Sørg med andre ord for, at ledelsen forstår vigtigheden og kompleksiteten af NIS2-opgaven og tager ejerskab over den.
Placer det overordnede ansvar hos en eller flere konkrete personer i topledelsen, så der sikres den rette forankring, prioritering og fremdrift. - Det operationelle ansvar og ansvaret for konkret implementering af tiltag og sikkerhedsforanstaltninger skal tildeles en afdeling/medarbejdere, der tilføres de nødvendige ressourcer og besidder de rette cybersikkerhedskompetencer til at udføre NIS2-opgaven i praksis, evt. med hjælp fra en ekstern rådgiver (find en liste over kvalificerede rådgivere her).
- Udarbejd en implementeringsplan frem mod den 18. oktober 2024, der kan brydes ned i konkrete, målbare opgaver, og få klarhed over beslutningsprocesser mellem ledelsesorganet og den teknisk implementeringsansvarlige.
- Etablér en metode/et rammeværk, der sikrer udførlig dokumentation af hele virksomhedens NIS2-implementeringsproces og -efterlevelse, inkl. overblik over digitale aktiver, risikovurderinger, sikkerhedsforanstaltninger, kontrolprocedurer og beredskab mv.
2. Identificer virksomhedens samfundskritiske services og leverancer
- Udarbejd en liste over alle de services som virksomheden leverer. Dette bør omfatte alt fra produktudvikling til kundesupport.
- Vurder hvor kritisk hver enkelt service er for samfundet med udgangspunkt i, hvorfor den pågældende sektor i NIS2 er kategoriseret som samfundskritisk. Vurder også eventuelle indirekte konsekvenser, fx for virksomhedens kunder, hvis servicen eller leverancen afbrydes.
- Afklar om andre samfundskritiske services eller infrastrukturer er afhængige af virksomhedens services eller leverancer.
3. Identificer dine driftskritiske aktiver som understøtter de kritiske leverancer
- Kortlæg og gennemgå dine driftskritiske aktiver (systemer, hardware, data, infrastruktur) både i virksomhedens IT- og OT-miljø (hvis relevant).
4. Udarbejd en risikovurdering af virksomhedens informationsaktiver og net- og informationssystemer
- Identificer potentielle trusler og sårbarheder, der kan påvirke dine driftssikre aktiver. Antag et samfundsperspektiv og overvej hvilke risikofaktorer, der kan kompromittere din virksomheds samfundskritiske funktion og/eller leverance som en del af en samfundskritisk forsyningskæde.
- Forhold dig til interne/eksterne trusler, sandsynlighed og konsekvenser, idet du overvejer ”Confidentiality, Integrity & Availability” af de samfundskritiske data og systemer.
- Brug risikovurderingen til prioritering af mitigerende tiltag.
- Foretag en vurdering af virksomhedens risikoappetit og sæt mål og grænser for et acceptabelt risikoniveau.
5. Lav en gap-analyse på dine sikkerhedspolitikker og –procedurer
- Lav en modenhedsvurdering, der belyser virksomhedens aktuelle cybersikkerhedsniveau, inkl. tilgængelige ressourcer og kompetencer.
- Kortlæg dine sikkerhedspolitikker og -procedurer, fortegnelser og eventuelle sikkerhedscertificeringer. Skab et overblik over eksisterende compliancedokumentation.
- Lav en gap-analyse mod NIS2.
- Udarbejd politikker og procedurer for arbejdet med NIS2, inkl. et årshjul for evaluering/audit, test, vedligeholdelse og kontrol (husk inddragelse og rapportering til ledelsen).
6. Leverandørsikkerhed og leverandørstyring/-tilsyn
- Kortlæg kritiske leverandører og tjenesteudbydere til din virksomhed og sørg for at kunne dokumentere de aftaler, du har indgået med dem.
- Lav risikovurderinger og gennemgå de kontraktuelle krav vedr. net- og informationssikkerhed.
- Revidér og genforhandl kontrakter, der ikke lever op til sikkerhedskravene omkring sikkerhedsforanstaltninger og rapportering.
- Implementer og dokumenter de rette foranstaltninger til sikring af forsyningskædesikkerhed. Start med en forudgående dialog med virksomhedens kritiske leverandører.
- Lav en plan for tilsyn med forsyningskædesikkerheden og integrér denne i årshjulet.
7. Risikostyring og implementering af sikkerhedsforanstaltninger
- Lav en plan for implementering og vedligeholdelse af påkrævede sikkerhedsforanstaltninger, jf. minimumskrav i artikel 21 i NIS2.
- Hav foruden (tekniske) foranstaltninger til effektiv risikostyring også fokus på uddannelse og træning (også af ledelsen), så der skabes en cybersikkerhedskultur i virksomheden samt fokus på hændelseshåndtering og –rapportering, jf. artikel 20 og 23 i NIS2.
8. Drift og governance
- Husk løbende og opdateret dokumentation af risikovurderinger, politikker og procedurer for risikostyring, vurdering af effektiviteten af foranstaltninger, kontrol-setup mv.
- Husk årshjulet (den cirkulære proces), så momentum og complianceniveau fastholdes gennem klart definerede og placerede/forankrede opgaver.
- Forhold dig altid proaktivt til det aktuelle trusselsbillede!
For at sikre en samordnet implementering af sikkerhedsforanstaltninger på tværs at medlemsstaterne, tilskynder Artikel 25 i NIS2-direktivet til, at direkte omfattede virksomhederne benytter ”europæiske og internationale standarder og tekniske specifikationer, der er relevante for sikkerheden i net- og informationssystemer, uden at de påtvinger eller forskelsbehandler til fordel for anvendelse af en bestemt type teknologi“. F.eks. kan sikkerhedsstandarden ISO 27001 benyttes som et konkret værktøj til at hjælpe virksomheder med at leve op til de anførte minimumsforanstaltninger i NIS2.
I Danmark arbejder mærkningsordningen D-mærket også på, at efterlevelse af D-mærkets kriterier vil være lig efterlevelse af kravene til risikostyring og sikkerhedsforanstaltninger i NIS2 (link til D-mærkets mapping mod NIS2).