NIS2-direktivet blev vedtaget i EU 2022, og deraf følger en implementeringsfrist på 21 måneder i medlemslandene. I Danmark er deadline for implementering af NIS2 18. oktober 2024.
Du kan læse mere NIS2-direktivet og BDO’s rådgivning her til nedenfor.
Hvad er NIS2-direktivet?
I Danmark er forsyningsvirksomhederne ansvarlige for at levere energi, vand og andre væsentlige ressourcer til befolkningen. Disse virksomheder er også ansvarlige for at beskytte de systemer og data, der er afgørende for deres drift. Med den stigende trussel fra cyberkriminalitet er det afgørende for forsyningsvirksomhederne at implementere sikkerhedsforanstaltninger, der kan beskytte deres systemer og data. NIS2 er en EU-forordning, der fastsætter kravene til sikkerheden af kritiske infrastrukturer i hele Europa, herunder forsyningsvirksomheder.
Ledelsesansvar og bøder
NIS2 stiller krav om, at forsyningsvirksomhedernes ledelse skal tage ansvar for sikkerheden af deres systemer og data. Det betyder, at ledelsen skal sikre, at deres virksomheder overholder de krav, der er fastsat i NIS2. Hvis en forsyningsvirksomhed ikke overholder disse krav, kan de blive pålagt en bøde på op til 4% af deres globale omsætning.
Organisering og risikostyring
For at opfylde NIS2-kravene er det vigtigt, at forsyningsvirksomhederne har en klar organisering og styring af deres sikkerhedsaktiviteter. Dette omfatter identifikation og evaluering af risici, udvikling af en sikkerhedsstrategi, implementering af tekniske foranstaltninger og oprettelse af en beredskabsplan for håndtering af sikkerhedshændelser.
Tekniske foranstaltninger
NIS2 kræver, at forsyningsvirksomhederne implementerer tekniske foranstaltninger til beskyttelse af deres systemer og data. Disse foranstaltninger kan omfatte adgangskontrol, sikkerhedssoftware, netværkssegmentering og andre beskyttelsesforanstaltninger. Derudover kræver NIS2 også, at forsyningsvirksomhederne regelmæssigt tester deres sikkerhedsforanstaltninger og udfører risikovurderinger.
Relevante sikkerhedsrammeværk
Som hjælp til efterlevelse af NIS2 anbefaler BDO forsyningsvirksomhederne at anvende relevante sikkerhedsrammeværk, som f.eks. ISO 27001. Disse hjælper virksomhederne med at identificere og håndtere sikkerhedsrisici samt med at opfylde NIS2-kravene.
Leverandører
NIS2 stiller også krav til leverandører, der leverer produkter og tjenester til operatører af kritiske tjenester. Disse krav er fastsat for at sikre, at operatørerne af kritiske tjenester kun bruger sikre og pålidelige produkter og tjenester fra betroede leverandører. De primære krav til leverandører i NIS2 inkluderer:
- Sikkerhedsvurderinger: Leverandører skal udføre sikkerhedsvurderinger af deres produkter og tjenester for at identificere eventuelle sårbarheder eller risici, der kan påvirke sikkerheden af kritiske tjenester. Leverandører skal også være i stand til at reagere hurtigt på eventuelle sikkerhedstrusler og patche eventuelle sårbarheder i deres produkter og tjenester.
- Certificering: Leverandører skal kunne dokumentere, at deres produkter og tjenester overholder relevante sikkerhedsstandarder og -certificeringer. Dette kan omfatte ISO 27001-certificering eller andre relevante sikkerhedscertificeringer.
- Transparens: Leverandører skal give operatører af kritiske tjenester tilstrækkelig information om deres produkter og tjenester, herunder deres sikkerhedsfunktioner og eventuelle risici eller sårbarheder.
- Samarbejde: Leverandører skal samarbejde med operatører af kritiske tjenester for at løse eventuelle sikkerhedsproblemer og dele information om eventuelle trusler eller sårbarheder.
Det er vigtigt at bemærke, at kravene til leverandører kan variere afhængigt af den type produkt eller tjeneste, der leveres, og den kritiske tjeneste, der bruger den. Operatører af kritiske tjenester bør derfor sikre sig, at de kun bruger produkter og tjenester fra leverandører, der opfylder NIS2-kravene, og som kan dokumentere deres overholdelse af disse krav.
Hvilke krav stiller NIS2 til din virksomhed?
For at være omfattet af NIS2 skal en virksomhed opfylde følgende kriterier:
- Virksomheden skal være en operatør af en kritisk tjeneste: Dette omfatter blandt andre forsyningsvirksomheder, såsom el, gas og vand.
- Tjenesten skal være af afgørende betydning for samfundets funktion: Dette betyder, at tjenesten skal være så vigtig, at en afbrydelse eller nedbrud kan have alvorlige konsekvenser for samfundet og økonomien.
- Tjenesten skal have en vis størrelse: NIS2 fastsætter ikke nogen specifik størrelsesgrænse for virksomheder, der er omfattet af forordningen. Det betyder, at en mindre virksomhed kan være omfattet af NIS2, hvis den opfylder de andre krav. Som udgangspunkt (og med undtagelser) er små- eller mikrovirksomheder ikke omfattet. Dette dækker virksomheder med mindre end 50 ansatte og en årlig omsætning eller en årlig balance på mindre end 10 mio. Euro.
Det er vigtigt at bemærke, at undtagelserne kun gælder for de mindre virksomheder, der ikke opfylder kriterierne for at være operatører af en kritisk tjeneste, eller som ikke anses for at have en afgørende betydning for samfundets funktion.
Hvis en mindre virksomhed anses for at være en operatør af en kritisk tjeneste og har en afgørende betydning for samfundets funktion, er den stadig omfattet af NIS2, selvom den er en SMV eller en mikrovirksomhed.
BDO’s anbefalinger til at komme i gang:
- Fastlæg om virksomheden er omfattet af NIS2
- Fastlæg ledelsesansvaret og organisationen omkring NIS2
- Udarbejd risikovurdering med fokus på konsekvens for samfundet (genbrug mest muligt fra tidligere risikovurderinger)
- Identificer sikringsforanstaltninger som mitigerer identificerede risici (genbrug mest muligt fra tidligere evt. eksisterende implementering af ISO 27001)
- Etabler procedure for registrering, håndtering og rapportering af hændelser (genbrug fra tidligere men vær opmærksom på krav til rapportering inden for 24 timer)
- Etabler procedure for leverandørstyring og tilsyn (genbrug gerne fra tidligere)