Hvor klar er du egentlig til NIS2?

NIS2 (Network and Information Systems Directive 2) er et EU-direktiv, der er udviklet for at regulere cybersikkerheden inden for EU's medlemslande. 

Formålet er at styrke sikkerheden omkring den kritiske infrastruktur og de digitale tjenester ved at etablere fælles standarder og krav. Det er altså både private og offentlige aktører, der arbejder med kritisk infrastruktur, som vil være omfattet af kravene.

Men, har du et klart overblik over, hvor langt du er i processen med at nå kravene i NIS2-direktivet?

Og, har du identificeret de relevante områder, som du skal nå at håndtere inden den 18. oktober 2024, som er skæringsdatoen for, hvornår direktivet skal være implementeret i dansk ret?

Hvis du kan svare ja, så behøver du ikke at læse længere. 

Hvis du fortsætter læsningen, kan du få et overblik over hvilke syv områder, du skal tage fat på for at komme sikkert i gang.

Du skal identificere og prioritere

For at få overblik over din nuværende overholdelsesstatus, skal du identificere de områder, der skal forbedres og prioritere arbejdet med dem.

På denne måde kan du adressere områderne inden fristen og reducere risikoen for en eventuel straf og hændelser relateret til manglende overholdelse. Ligeledes kan du konkretisere din organisations risikoappetit.

Som udgangspunkt er det vigtigt, at du forholder dig til kravene i Artikel 21 og 23, der handler om, hvor langt du er i forhold til minimumskrav, og at du har sikret, at du kan efterleve rapporteringsforpligtigelserne.

Men en god NIS2-plan, som vurderer overholdelsen af EUs direktiv, bør omfatte en gennemgang af disse syv områder: 

Aktiver og risici:

• Gennemgå dine kritiske aktiver og informationssystemer
• Identificer potentielle trusler og sårbarheder, der kan påvirke dine aktiver

Sikkerhedspolitikker og procedurer:

• Kortlæg dine sikkerhedspolitikker og -procedurer, som skal være i overensstemmelse med kravene
• Gennemgå politikker vedrørende adgangskontrol, overvågning, rapportering af hændelser og andre relevante områder

Beskyttelse af kritiske aktiver:

• Evaluer hvordan du beskytter dine kritiske aktiver mod trusler og sårbarheder
• Gennemgå foranstaltninger som kryptering, firewall-konfigurationer og adgangskontrol

Incident response-plan:

• Undersøg om der er en effektiv incident-håndteringsplan på plads
• Gennemgå procedurer for at rapportere og reagere på sikkerhedshændelser

Overvågning og detektion:

• Vurder hvordan din organisation overvåger netværk og systemer for at opdage unormale aktiviteter
• Gennemgå anvendte sikkerhedsværktøjer og teknologier

• Vurder sikkerheden i forsyningskæden, herunder leverandører og tjenesteudbydere
• Gennemgå de kontraktuelle krav vedrørende net- og informationssikkerhed

Uddannelse og bevidsthed:

• Gennemgå uddannelses- og bevidsthedsprogrammer for medarbejdere og interessenter.
• Vurder om din organisation har etableret en cybersikkerheds-kultur

Det er de centrale punkter, der bør overvejes i din NIS2-gennemgang. 

Du skal dog være opmærksom på, at kravene kan variere afhængigt af organisationens størrelse, branche og kompleksitet. Det kan derfor være en fordel at søge rådgivning hos fagpersoner inden for informationssikkerhed eller juridiske rådgivere, der er fortrolige med NIS2-direktivet.

Du kan finde hele direktivet på Europa-Kommissionens webside: https://digital-strategy.ec.europa.eu/da/policies/nis2-directive