NIS2: Hvad er det, hvem er omfattet – og hvad kræver det af din organisation?

NIS2. Tre bogstaver og et tal, der i disse aar fylder mere og mere i bestyrelseslokaler, direktionsgange og IT-afdelinger. For mange virksomheder er det ny jord – og for mange ledere er forvirringen stor: Hvad er NIS2 egentlig? Gælder det os? Og hvad skal vi gøre ved det?

Her er svaret i et klart og forstaaeligt format. Vil du have den fulde gennemgang af NIS2 og alle andre centrale regulativer inden for cybersikkerhed? Se Mini MBA i Cybersecurity her.

Hvad er NIS2?

NIS2 (Network and Information Systems Directive 2) er EUs opdaterede direktiv for cybersikkerhed, der traadte i kraft i 2023 og skulle implementeres i dansk lovgivning i 2024. Det er en opdatering og markant udvidelse af det oprindelige NIS-direktiv fra 2016.

Formålet er klart: At styrke cybersikkerheden på tværs af EU ved at stille konkrete krav til et langt bredere udsnit af organisationer end hidtil – og ved at gøre det reelt bindende med skrappere sanktioner.

Hvem er omfattet?

Det er her, mange organisationer bliver overraskede. NIS2 er langt bredere end sin forgænger. Direktivet skelner mellem to kategorier: essentielle enheder og vigtige enheder.

Essentielle enheder omfatter sektorer som energi, transport, sundhed, finansinfrastruktur og digital infrastruktur. Vigtige enheder dækker en bred vifte inklusiv post og kurértjenester, affaldshaandtering, kemikalier, fødevarer, producenter af medicinsk udstyr og digitale udbydere.

Tommelfingerreglen: Har jeres organisation mere end 50 ansatte ELLER mere end 10 millioner euro i aarsomsætning, og opererer I inden for en af de inkluderede sektorer, er I sandsynligvis omfattet.

Hvad kræver NIS2 konkret?

NIS2 stiller en lang række krav til organisationer, der er omfattet. De vigtigste er: Risikoanalyse og sikkerhedspolitikker, der dokumenterer, hvad I gør for at beskytte jeres systemer. Hændelseshåndtering, herunder klare processer for, hvad I gør, nar I opdager et angreb. Forsyningskædesikkerhed, fordi kravene ogs a gælder de leverandører, I er afhængige af. Kryptering og adgangsstyring. Og hurtig rapportering af sikkerhedshændelser til myndighederne – typisk inden for 24 timer.

Hvad er sanktionerne ved manglende overholdelse?

NIS2 har bid. Essentielle enheder kan straffes med bøder på op til 10 millioner euro eller 2 % af den globale omsætning. For vigtige enheder er maksimumsbeløbet 7 millioner euro eller 1,4 % af omsætningen. Og i modsætning til mange tidligere reguleringer er der nu personligt ansvar for topledelsen – herunder bestyrelsen.

Hvad skal I gøre nu?

Start med at kortlægge, om I er omfattet. Dernæst: Gennemfør en gap-analyse – hvad gør I allerede, og hvad mangler I? Involvér ledelsen, for NIS2 er ikke kun et IT-anliggende, det er et ledelsesansvar. Og sæt gang i uddannelsen af de relevante medarbejdere.

Mange organisationer finder ud af, at de er overraskende langt fra fuld compliance. Men det er bedre at opdage det nu end nar tilsynsmyndighederne banker paa.

Bliv klædt paa til compliance

NIS2 er ét af de centrale juridiske og regulatoriske emner på Mini MBA i Cybersecurity. Vil du forstaa, hvad det kræver af din organisation – og hvordan I implementerer det i praksis? Se Mini MBA i Cybersecurity og find din startdato her.