Nye krav til cybersikkerhed (NIS2) og hvem skal efterleve dem?
skal du med på det KOMMENDE nis2 WEBINAR?
Hvad er NIS2-direktivet?
I en tid med stigende antal cyberangreb og en generelt øget digitalisering, er det oprindelige direktiv (NIS) blevet opdateret og udvidet til NIS2. NIS2 stiller derfor skærpede minimumskrav til et endnu højere it-sikkerhedsniveau, som omfatter flere sektorer, virksomheder og offentlige enheder.
Europa-Parlamentet har vedtaget en ny version af Net- og Informationssikkerhedsdirektivet (NIS2). En moderniseret ramme baseret på EU's direktiv om net- og informationssikkerhed, der har til formål at forbedre medlemslandenes kollektive IT-sikkerhed. Direktivet opstiller et fuldt funktionsdygtigt EU Cybersikkerhedsoperationscenter (SOC) i realtid, med rapporteringsforpligtelser og informationsudveksling for EU medlemslandenes kritiske infrastruktur.
Parlamentet vil med denne lovgivning skabe en øget bevidsthed og skærpede forpligtelser samt fastsætte strengere minimumsforpligtelser for risikostyring, rapporteringsforpligtelser og informationsudveksling. Kravene dækker blandt andet hændelsesrespons, sikkerhed i forsyningskæden, kryptering og deling af sårbarheder i sektoren.
Ransomware og andre cybertrusler har hærget Europa alt for længe. Vi er nødt til at handle for at gøre vores virksomheder, regeringer og samfund mere modstandsdygtige over for fjendtlige cyberoperationer", sagde ledende MEP Bart Groothuis (Renew, NL) og formand for udvalget, der har udarbejdet direktivet. "Dette EU-direktiv vil hjælpe omkring 160.000 enheder med at stramme grebet om sikkerhed og gøre Europa til et sikkert sted at bo og arbejde. Det vil også muliggøre informationsudveksling med den private sektor og partnere rundt om i verden. Hvis vi bliver angrebet i industriel skala, er vi nødt til at reagere i industriel skala," 1
Vicepræsident i EU Kommissionen, Magrethe Vestager understregede, at "Det vedtagne direktiv vil styrke de gældende sikkerheds- og hændelsesrapporteringsforpligtelser for virksomheder og samtidig udvide anvendelsesområdet. Jeg mener, at det er virkelig vigtigt, at nye sektorer bliver en del af den, og at nye typer tjenester sikrer en sammenhængende og harmoniseret tværsektoriel tilgang til cybersikkerhed" 1
Hvem skal efterleve kravene i NIS2?
Indtil videre er det virksomheder med over 50 ansatte og en årlig omsætning eller samlet årlig balance på over 10 mio. euro, som i udgangspunktet vil blive omfattet af NIS2, dog med undtagelser. Hvis myndighederne vurderer, at en mindre virksomhed leverer en kristisk funktion eller tjeneste som f.eks. udbydere af offentlige elektroniske kommunikationsnet eller tillidstjenesteudbydere, skal denne virksomhed også efterleve kravene i NIS2.
Det er vigtigt, at din virksomhed allerede nu sætter sig ind i det nye direktiv, da de nye krav skal være implementeret 27 måneder efter datoen for NIS2-direktivets ikrafttrædelse. Senest samme dato udarbejder medlemsstaterne en liste over væsentlige og vigtige enheder samt enheder, der er omfattet, hvorfor de danske virksomheder må forventes at have modtaget meddelelse herom, fra den danske myndighed på området, inden.
Er du interesseret i at høre mere eller i tvivl om, hvor din virksomhed står i forhold til det nye NIS2-direktiv, så er du meget velkommen til at kontakte os på telefon +45 7731 1000 eller mail info-dk@bureauveritas.com
Væsentlige enheder | Vigtige enheder |
Energy (Elektricitet*, EV ladetjeneste, fjernvarme, oile, gas, brint) | Post- og kurertjenester |
Transport (luft, jernbane, vand, vej) | Affaldshåndtering |
Bankvirksomhed | Kemikalier (Fremstilling, produktion, distribution) |
Financiel markant infrast. | Fødevarer (Fremstilling, produktion, distribution) |
Sundhed (Sundhedspleje, EU-laboratorier, produkt research og udvikling, farmaceutiske produkter, fremstilling af medicinsk udstyr) | Fremstilling Medicinsk udstyr, computer, elektroniske og optiske produkter, elektrisk udstyr, maskineri og udstyr, motorkøretøjer, trailere og sættevogn og andet transport udstyr; (EFT L31 & Grp 26, 27, 28, 29, 30 i NACE) |
Drikkevand | Digitale udbydere (Online markedspladser, søgemaskiner, platforme for sociale netværkstjenester) |
Spildevand | |
Digital infrastruktur (IXP, DNS, TDL, Cloud, Data centre, kommunikation, tillidsudbydere) | |
Offentlig admin. | |
Rum- og jordtjenester |
Sort = Eksisterer fra NIS1 - Grøn = Nye i NIS2
Markering* (Nye enhedstyper: Elektricitetsmærket, produktion, akkumulering, efterspørgselsrespons og energilagring)