Nyt Cyberdirektiv NIS2 er vedtaget

Hvad betyder det for din virksomhed?

Nyt Cyberdirektiv NIS2 er vedtaget

Nyt Cyberdirektiv NIS2 er vedtaget – hvad betyder det for din virksomhed?

EU´s medlemslande har vedtaget en ny version af Net- og Informationssikkerhedsdirektivet NIS2, som skal implementeres i de enkelte medlemslandes lovgivning senest til oktober 2024. Formålet med NIS2 er at sikre et højt fælles niveau for cyber- og informationssikkerhed i Europa.

Med NIS2 bliver flere sektorer/brancher og virksomheder, både store som små, omfattet af de skærpede krav til IT-sikkerhed.

NIS2 direktivet placerer ansvaret for cybersikkerheden hos ledelsen dvs. direktionen og formentlig også bestyrelsen og indeholder bl.a.:

  • krav til uddannelse af medarbejdere
  • godkendelse af beredskabsplaner
  • minimumskrav til risikostyring
  • IT-sikkerhedsforanstaltninger
  • rapporteringsforpligtelse om sikkerhedshændelser
  • krav om leverandørstyring
  • bøder for overtrædelser
  • sanktioner i forhold til ledelsen

Direktivet oplister en række samfundskritiske brancher og institutioner, som direkte bliver påvirket af kravene om øget IT-sikkerhed. Det gælder:

  • energi
  • transport
  • finans
  • sundhed
  • post og kurertjenester
  • affaldshåndtering
  • fremstilling af kemiske produkter, fødevarer, pharma, elektronik, optisk udstyr, maskineri og køretøjer
  • drikke og spildevand
  • digital infrastruktur
  • informations- og kommunikationsteknologi
  • offentlig forvaltning (central administration, regioner og kommuner)
  • udbydere af online services

Ud over de direkte oplistede brancher og institutioner vil NIS2 på grund af kravet om leverandørstyring også indirekte omfatte underentreprenører og underleverandører og dermed hele forsyningskæden til disse.

Dansk Erhverv skønner, at 1/3 af de danske SMV’er i deres egenskab af underleverandører vil blive indirekte omfattet af de skærpede krav til cyber- og informationssikkerhed.

Så det er absolut ikke for tidligt at få implementeret den helt nødvendige IT-sikkerhed. Noget som Sikker-IT har specialiseret sig gennem det Cyber Risk Management koncept, som vi har udviklet specielt tilpasset mindre og mellemstore virksomheder.