Hvad kan du forvente som virksomhed?

NIS2 direktivet er endeligt vedtaget i EU i november 2022. Den danske stat er netop nu i gang med at udmønte direktivet til danske nationale bekendtgørelser, som vil fungere som bindende lov for de omfattede virksomheder.

Den nye lovgivning forventes at træde i kraft i Danmark fra februar 2024. Indtil videre er det ikke besluttet specifikt hvad man, som NIS2-underlagt virksomhed, skal leve op til. Vi erfarer dog, ud fra EU-direktivet, at det især kommer til at stille skærpede krav indenfor følgende centrale områder:

• Risikostyring
• Forretningens kontinuitet ved en kritisk it-hændelse
• Rapportering til myndigheder

Desuden forventes det at myndighederne får væsentlige styrkede tilsynsbeføjelser, for at sikre at loven bliver overholdt. Der vil blive mulige sanktioner, hvis loven ikke bliver overholdt kan bl.a. omfattende bøder, tvungne revisioner og sanktionering af ledelse.

Hvorfor bliver NIS2 implementeret?

NIS2 er en efterkommer af et direktiv kaldet NIS1, som allerede har været gældende for flere virksomheder. NIS2 udvider kravene og sektorerne i forhold til det oprindelige NIS1. Formålet er at sikre et højt fælles niveau af cybersikkerhed på tværs af hele EU og skal ses som ét af værnene, mod det stigende cyber-trusselsbillede mod EU.

Konkret, skal direktivet højne sikkerheden af den infrastruktur, som sikrer samfundskritiske tjenester.

Hvis vi sammenligner NIS2 med GDPR, så blev GDPR direktivet implementeret 2018, med udgangspunkt i at beskytte personer i samfundet. NIS2 direktivet bliver implementeret med udgangspunkt i at beskytte samfundet generelt.

Forbered din organisation og ledelse – allerede nu

netIP ønsker, at vi lærer af den erfaring vi alle fik under implementering af GDPR tilbage i 2018. Vi skal tage direktivet alvorligt og begynde at arbejde med it-sikkerheden allerede nu – både for at være på forkant med lovgivningen, men også fordi arbejdet skaber værdi for din virksomhed, og giver ro i maven.
De cyberkriminelle venter ikke på at en lovgivning træder i kraft, før de laver et potentielt angreb.

Du kan anvende netIPs guideline til it-sikkerhed som en start.

Se hele skemaet med sikkerhedsniveauer HER

Derudover ved vi allerede nu, at NIS2 arbejder ud fra en risikobaseret tilgang til it-sikkerheden. Det betyder, at det vil blive et krav, at du forholder dig til risici på tværs af hele organisationen, og identificerer dem, som er vigtigst for at understøtte forretningens kontinuitet.

NIS2 kommer yderligere til at kræve, at ledelsen på tværs af organisationen træder i karakter (og ikke kun i it-afdelingen), og tager ansvar for virksomhedens it-sikkerhedsniveau, godkender risici og sikrer at der bliver ført kontrol med de identificerede risici.

Dette kan du med fordel også allerede nu forberede din organisation og ledelsen på.