Hvor klar er du egentlig til NIS2?
Både offentlige og private aktører, der arbejder med kritisk infrastruktur, bliver omfattet af NIS2-direktivet. Det stiller en række krav til din organisation om processer, tekniske kontroller og uddannelse indenfor cybersikkerhed, som skal være på plads inden skæringsdatoen den 18. oktober 2024. Her er syv områder, du skal have fokus på for at leve op til kravene fra EU.

NIS2 (Network and Information Systems Directive 2) er et EU-direktiv, der er udviklet for at regulere cybersikkerheden inden for EU's medlemslande.
Formålet er at styrke sikkerheden omkring den kritiske infrastruktur og de digitale tjenester ved at etablere fælles standarder og krav. Det er altså både private og offentlige aktører, der arbejder med kritisk infrastruktur, som vil være omfattet af kravene.
Men, har du et klart overblik over, hvor langt du er i processen med at nå kravene i NIS2-direktivet?
Og, har du identificeret de relevante områder, som du skal nå at håndtere inden den 18. oktober 2024, som er skæringsdatoen for, hvornår direktivet skal være implementeret i dansk ret?
Hvis du kan svare ja, så behøver du ikke at læse længere.
Hvis du fortsætter læsningen, kan du få et overblik over hvilke syv områder, du skal tage fat på for at komme sikkert i gang.
Du skal identificere og prioritere
For at få overblik over din nuværende overholdelsesstatus, skal du identificere de områder, der skal forbedres og prioritere arbejdet med dem.
På denne måde kan du adressere områderne inden fristen og reducere risikoen for en eventuel straf og hændelser relateret til manglende overholdelse. Ligeledes kan du konkretisere din organisations risikoappetit.
Som udgangspunkt er det vigtigt, at du forholder dig til kravene i Artikel 21 og 23, der handler om, hvor langt du er i forhold til minimumskrav, og at du har sikret, at du kan efterleve rapporteringsforpligtigelserne.
Men en god NIS2-plan, som vurderer overholdelsen af EUs direktiv, bør omfatte en gennemgang af disse syv områder:
Aktiver og risici:
- Gennemgå dine kritiske aktiver og informationssystemer
- Identificer potentielle trusler og sårbarheder, der kan påvirke dine aktiver
Sikkerhedspolitikker og procedurer:
- Kortlæg dine sikkerhedspolitikker og -procedurer, som skal være i overensstemmelse med kravene
- Gennemgå politikker vedrørende adgangskontrol, overvågning, rapportering af hændelser og andre relevante områder
Beskyttelse af kritiske aktiver:
- Evaluer hvordan du beskytter dine kritiske aktiver mod trusler og sårbarheder
- Gennemgå foranstaltninger som kryptering, firewall-konfigurationer og adgangskontrol
Incident response-plan:
- Undersøg om der er en effektiv incident-håndteringsplan på plads
- Gennemgå procedurer for at rapportere og reagere på sikkerhedshændelser
Overvågning og detektion:
- Vurder hvordan din organisation overvåger netværk og systemer for at opdage unormale aktiviteter
- Gennemgå anvendte sikkerhedsværktøjer og teknologier
- Vurder sikkerheden i forsyningskæden, herunder leverandører og tjenesteudbydere
- Gennemgå de kontraktuelle krav vedrørende net- og informationssikkerhed
Uddannelse og bevidsthed:
- Gennemgå uddannelses- og bevidsthedsprogrammer for medarbejdere og interessenter.
- Vurder om din organisation har etableret en cybersikkerheds-kultur
Det er de centrale punkter, der bør overvejes i din NIS2-gennemgang.
Du skal dog være opmærksom på, at kravene kan variere afhængigt af organisationens størrelse, branche og kompleksitet. Det kan derfor være en fordel at søge rådgivning hos fagpersoner inden for informationssikkerhed eller juridiske rådgivere, der er fortrolige med NIS2-direktivet.
Du kan finde hele direktivet på Europa-Kommissionens webside: https://digital-strategy.ec.europa.eu/da/policies/nis2-directive
Vil I vide mere?

Vil I gerne høre mere om, hvordan vi kan hjælpe jer med jeres organisations sikkerhed? Så tøv ikke med at tage kontakt, så vi sammen kan se på, hvilke fordele I kan opnå.
Læs mere om modenhedsvurdering og kontrol
Hvor moden er jeres organisation? Er der styr på de basale sikkerhedskontroller? Det kan vores tjeneste for modenhedsvurdering og kontroller hjælpe med at kortlægge.
Hold dig opdateret
Tilmeld dig vores nyhedsbrev og få de seneste nyheder, indsigter og invitationer fra KMD til området for it sikkerhed.
Tilmeld dig her