I takt med det stigende antal cybertrusler på verdensplan er cybersikkerhed blevet et afgørende fokuspunkt for virksomheder i alle sektorer. For at imødekomme disse udfordringer har EU udviklet NIS2-direktivet, der stiller strengere krav til cybersikkerheden for at beskytte virksomheders IT-infrastruktur. I modsætning til sin forgænger, NIS1, går NIS2 langt mere i dybden med både krav og sanktioner, og mange virksomheder står nu over for en række nye forpligtelser. NIS2 stiller nemlig skærpede krav til virksomheders evne til at opdage og afværge cybertrusler, især dem, der opererer i kritiske sektorer.
Men hvad indeholder NIS2 egentlig, og hvordan adskiller det sig fra det tidligere direktiv? Hvilke krav er allerede kendte, og hvilke spørgsmål står stadig åbne? I denne artikel gennemgår vi den nyeste viden om NIS2 og fokuserer på de områder, der stadig kræver afklaring. Vi undersøger desuden, hvordan B2B-virksomheder kan forberede sig på NIS2’s krav og undgå risici ved manglende compliance.
Hvad er NIS2, og hvorfor er det vigtigt?
NIS2 er en opdatering af det tidligere NIS-direktiv (Netværk og Informationssikkerhed), som blev indført af EU i 2018. Målet med NIS2 er at styrke cybersikkerheden og modstandsdygtigheden i EU’s medlemslande gennem skærpede krav til virksomheder, som leverer vigtige ydelser inden for specifikke industrier. Mens NIS1 fokuserede på kritiske sektorer som energi, transport og finans, udvider NIS2 rækkevidden til også at omfatte flere sektorer, herunder blandt andet IT-udbydere og digitale tjenester. Dette gør, at mange flere virksomheder nu er underlagt de nye krav.
I modsætning til NIS1 er NIS2 langt mere omfattende. NIS2 stiller blandt andet krav om sikkerhedspolitikker, risikovurderinger og beredskabsplaner. Virksomheder, der ikke opfylder NIS2-kravene, kan blive pålagt store bøder og sanktioner, som kan skade både deres økonomi og omdømme. Det har gjort NIS2 til et af de mest omdiskuterede emner inden for cybersikkerhed og compliance i 2024. Direktivet er derfor en væsentlig faktor i B2B-verdenen, hvor mange virksomheder allerede har øget deres investeringer i cybersikkerhed for at imødekomme de nye krav.
Kendte krav i NIS2-direktivet
Lad os tage et nærmere kig på nogle af de krav, som virksomheder allerede ved, de skal efterleve.
1. Øget ansvar for ledelsen
En af de mest markante ændringer i NIS2 er det øgede ansvar, der pålægges virksomhedsledelsen. Ledelsen skal aktivt involveres i udviklingen og implementeringen af virksomhedens cybersikkerhedsstrategi og i beskyttelsen af virksomhedens data. Dette betyder, at topledelsen nu bærer et større juridisk ansvar, hvis virksomheden ikke overholder NIS2-kravene. Dette øgede ansvar har betydet, at flere virksomheder nu integrerer cybersikkerhed som en central del af deres overordnede forretningsstrategi.
2. Obligatoriske risikovurderinger og sårbarhedsanalyser
NIS2 pålægger virksomheder at gennemføre løbende risikovurderinger og sårbarhedsanalyser. Formålet med disse analyser er at identificere potentielle svagheder i virksomhedens IT-infrastruktur, forudse potentielle cyberangreb og sikre, at der er passende foranstaltninger på plads til at beskytte mod cyberangreb. Virksomheder skal desuden dokumentere disse risikovurderinger og kunne fremvise dem, som bevis på, at virksomheden proaktivt arbejder med risikominimering, hvis de bliver underlagt revision af relevante myndigheder.
3. Sikkerhedspolitikker og beredskabsplaner
Ifølge NIS2 skal virksomheder udvikle og vedligeholde en omfattende sikkerhedspolitik og en beredskabsplan, som kan aktiveres i tilfælde af et cyberangreb. Denne beredskabsplan skal sikre, at virksomheden hurtigt kan genoprette driften efter et angreb og minimere skader på både virksomhedens drift og kundedata. Planen skal være tilgængelig og implementerbar i praksis, så den kan aktiveres med kort varsel.
4. Rapporteringspligt ved sikkerhedsbrud
Et andet centralt krav i NIS2 er rapporteringspligten. NIS2 kræver, at virksomheder rapporterer alle sikkerhedsbrud til relevante myndigheder inden for 24 timer efter opdagelsen af hændelsen. Dette krav om hurtig rapportering betyder, at virksomheder skal have et effektivt overvågnings- og responsberedskab på plads, som kan detektere og reagere på trusler i realtid. Manglende overholdelse af rapporteringspligten kan resultere i både sanktioner og bøder.
5. Minimum sikkerhedskrav til IT-infrastruktur
NIS2 stiller også minimumskrav til virksomhedens IT-infrastruktur. Dette betyder, at der er visse standarder, som virksomheder skal leve op til for at opnå compliance, eksempelvis inden for netværkssikkerhed, adgangskontrol og datakryptering. Disse krav er designet til at reducere risikoen for uautoriseret adgang og sikre, at virksomhedens data er beskyttet mod potentielle trusler.
Hvad mangler vi stadig svar på?
Selvom mange krav i NIS2 er tydeligt definerede, er der stadig områder, som mangler præcis vejledning og afklaring. Disse uafklarede spørgsmål gør det svært for virksomheder at sikre fuld overholdelse og øger risikoen for at overse vigtige aspekter af NIS2.
1. Hvordan defineres “kritiske tjenester”?
Selvom NIS2 omfatter flere sektorer end sin forgænger, er der stadig usikkerhed om, hvilke virksomheder der præcist falder ind under kategorien “kritiske tjenester.” Mens energisektoren og sundhedssektoren er tydeligt definerede, mangler der præcisering for flere B2B-tjenester. Det skaber usikkerhed for flere B2B-tjenester som fx IT-udbydere og cloud-tjenester, som måske ikke ved, om de er omfattet af direktivets krav.
2. Hvordan skal risikovurderinger udføres?
Selvom risikovurderinger er et kernekrav under NIS2, er der kun overordnede retningslinjer for, hvordan disse vurderinger bør udføres i praksis. Der er ikke klare standarder for, hvilke metoder eller værktøjer der skal anvendes. Uden konkrete standarder står virksomheder over for forskellige fortolkninger af, hvad der udgør en “tilstrækkelig” risikovurdering. Denne mangel på præcis vejledning kan resultere i varierende praksis og inkonsekvent overholdelse blandt forskellige virksomheder.
3. Hvornår anses et sikkerhedsbrud for at være rapporteringspligtigt?
Kravet om at rapportere sikkerhedsbrud inden for 24 timer rejser spørgsmål om, hvornår en hændelse formelt betragtes som værende et brud. Hvis en virksomhed opdager en potentiel sikkerhedstrussel, men endnu ikke har verificeret omfanget, kan det være uklart, om dette skal rapporteres. Det skaber udfordringer for virksomheder, der ønsker at overholde kravene om rettidig rapportering, men samtidig vil undgå unødvendige alarmer.
4. Hvilke sanktioner vil blive håndhævet, og hvordan?
NIS2 inkluderer bestemmelser om bøder og sanktioner for virksomheder, der ikke overholder direktivet, men der mangler stadig specifikationer om, hvordan og hvornår disse vil blive håndhævet. Uden detaljerede oplysninger om sanktionerne er mange virksomheder usikre på, hvilke handlinger vil medføre bøder, og i hvilket omfang de vil blive pålagt sanktioner for mindre overtrædelser.
5. Er der en afgrænset overgangsperiode og frist for implementering?
Mange virksomheder spørger, hvor længe de har til at implementere de nye krav, før de risikerer sanktioner. En overgangsperiode kan være nødvendig for at give virksomheder tid til at justere deres processer og infrastruktur i overensstemmelse med NIS2. Denne afklaring er essentiel, så virksomheder kan tilrettelægge en realistisk plan for compliance.
Hvordan kan din virksomhed forberede sig på NIS2?
For mange virksomheder, især dem i B2B-sektoren, kan NIS2’s nye krav virke omfattende og ressourcekrævende. At sikre overholdelse kræver både interne og eksterne tilpasninger. Men med de rette strategier og tiltag kan din virksomhed forberede sig effektivt og undgå bøder og sanktioner. Her er nogle anbefalinger til, hvordan du bedst forbereder din virksomhed på NIS2.
Udarbejd en robust cybersikkerhedsstrategi
Det første skridt for virksomheder, der skal opfylde alle relevante NIS2 krav, er at udvikle en omfattende cybersikkerhedsstrategi. Denne strategi bør tage højde for virksomhedens specifikke risikobillede og omfatte tiltag for at beskytte mod kendte og nye trusler. Dette indebærer, at ledelsen spiller en aktiv rolle og bidrager til udviklingen af en sikkerhedspolitik, som er tilpasset virksomhedens specifikke behov. Ved at udarbejde en detaljeret plan kan din virksomhed skabe en klar ramme for cybersikkerhed og sikre, at alle NIS2-krav overholdes.
Opdater sikkerhedsprotokoller og -procedurer
Sørg for, at alle sikkerhedsprotokoller og procedurer lever op til NIS2’s krav. Det kan betyde, at virksomheden skal revidere eksisterende politikker og implementere nye tiltag for adgangskontrol, datakryptering og overvågning af netværk. Ved at opdatere sikkerhedsprocedurer kan du minimere risikoen for sikkerhedsbrud og sikre, at virksomheden kan reagere hurtigt og effektivt.
Invester i sikkerhedsovervågning og automatisering
Effektiv overvågning af virksomhedens IT-systemer kan sikre, at sikkerhedsbrud opdages i realtid. Med automatiserede sikkerhedsprocesser kan virksomheder også reagere hurtigt, hvilket øger chancen for at begrænse skaderne og imødekomme kravene om rapportering inden for de påkrævede 24 timer.
Træn medarbejdere i sikkerhed og compliance
En af de vigtigste faktorer i overholdelsen af NIS2 er, at virksomhedens medarbejdere har den nødvendige viden og træning i cybersikkerhed og compliance. Ved at investere i uddannelse og træning kan du øge medarbejdernes forståelse af NIS2s krav og sikre, at de aktivt bidrager til at minimere risikoen for cyberangreb. Gennem opmærksomhedskampagner sikrer virksomheden, at alle ansatte er bevidste om NIS2-kravene og kan genkende tegn på potentielle cybertrusler.
Gennemfør regelmæssige risikovurderinger
For at sikre, at din virksomhed er rustet mod aktuelle trusler, bør du regelmæssigt gennemføre risikovurderinger og opdatere din cybersikkerhedsstrategi baseret på resultaterne. Ved at identificere svagheder og sårbarheder kan du tage proaktive skridt til at styrke virksomhedens forsvar.
Kontakt en IT-outsourcing partner
For virksomheder, der ønsker at sikre en professionel implementering af NIS2, kan det være en fordel at outsource IT-aktiviteterne til en erfaren leverandør som RackPeople. Med ekspertise i cybersikkerhed og compliance kan RackPeople hjælpe din virksomhed med at udvikle og implementere løsninger, der overholder NIS2-kravene, og derved skabe tryghed og kontinuitet.
Konklusion
Selvom NIS2 direktivet introducerer mange nødvendige tiltag for cybersikkerhed, er der stadig uafklarede områder, som kan skabe usikkerhed for virksomheder. For B2B-virksomheder betyder dette, at man står over for både nye krav og udfordringer.
Vil du sikre, at din virksomhed er NIS2-kompatibel? RackPeople er din partner i denne proces og kan hjælpe dig med at implementere en solid IT-sikkerhedsstrategi, der er i overensstemmelse med NIS2. Kontakt os i dag for at høre mere om vores IT-outsourcing og sikkerhedsløsninger, og hvordan vi kan hjælpe din virksomhed med at beskytte sig mod de voksende cybertrusler og efterleve NIS2s krav.
