NIS2 – rådgivning om implementering

NIS2 er et direktiv fra EU, som blev vedtaget i slutningen af 2022, og som skal være implementeret den 17. oktober 2024.

Virksomheder og offentlige organisation kan være omfattet af NIS2, hvis de anses for at være en del af Danmarks kritiske infrastruktur. Hertil skal bemærkes, at leverandører til NIS2-omfattede virksomheder også kan være omfattet. Dog vil virksomheder med mindre end 10 mio. euro, eller hvis hvis man har færre end 50 ansatte, som udgangspunkt ikke være omfattet.

NIS2-direktivet stiller krav til organisationernes cyber- og informationssikkerhed, samt krav om tilsyn og rapportering. Kravene er:

• Politikker for risikoanalyse og informationssikkerhed 
• Politikker og procedurer til vurdering af effektiviteten af foranstaltninger til styring af cybersikkerhedsrisici 
• Politikker og procedurer vedrørende brug af kryptografi og, hvor det er relevant, kryptering 
• Håndtering af hændelser 
• Driftskontinuitet, såsom backup-styring og reetablering efter en katastrofe, og krisestyring 
• Forsyningskædesikkerhed, herunder sikkerhedsrelaterede aspekter vedrørende forholdene mellem den enkelte enhed og dens direkte leverandører eller tjenesteudbydere 
• Sikkerhed i forbindelse med erhvervelse, udvikling og vedligeholdelse af net og informationssystemer, herunder håndtering og offentliggørelse af sårbarheder 
• Grundlæggende cyberhygiejnepraksisser og cybersikkerhedsuddannelse 
• Personalesikkerhed, adgangskontrolpolitikker og forvaltning af aktiver 
• Brug af løsninger med multifaktorautentificering eller kontinuerlig autentificering, sikret tale-, video- og tekstkommunikation og sikrede nødkommunikationssystemer internt i enheden, hvor det er relevant 

På mange måder kender vi kravene fra ISO 27001 og på sin vis strukturelt også GDPR, så har man som virksomhed i forvejen arbejdet med disse områder, kan det give mening at ”mappe” og gøre brug af dele af de eksisterende politikker.

Lovgivningen skal udmøntes mere konkret, ligesom der endnu (pr. januar 2023) skal tages stilling til hvordan myndigheder foretager tilsyn, modtager anmeldelser etc.

Sådan kan vi hjælpe jer i forhold til NIS2-direktivet

I kraft af vores erfaring med compliance og relevante ISO-standarder, kan vi hjælpe jer i arbejdet henimod at blive NIS2-compliant. 

Helt overordnet kan vi hjælpe virksomheder og deres leverandører med at få overblik over, hvad NIS2-direktivet betyder for dem og hvad de konkret kan gøre for at blive compliant.

I den forbindelse kan vi starte med en modenhedsmåling, hvor vi får fundet frem til de områder, hvor I som virksomhed bør sætte ind. Vi benytter en revisionskritisk tilgang, hvor vi går i detaljer med, hvordan du kan løfte dit cybersikkerhedsniveau. Vi er desuden opmærksomme på, hvor vigtigt det at kunne tilpasse virksomhedssikkerhedsniveauer, så det passer til jeres daglige drift og gængse arbejdsgange. 

NIS2-erklæringer

Derudover kan vi afgive ISAE 3000 NIS2-erklæringer, som leverandører til NIS2-omfattede virksomheder kan dokumentere, at de overholder de afkrævede forpligtelser. Det giver leverandørerne en klar markedsfordel i forhold til både at fastholde deres eksisterende kunder og til at skaffe nye kunder.

En NIS2-erklæring skal ikke kun ses som et ”stykke papir” og en ting der bare skal overstås, da det er et direkte bevis på at du og din virksomhed tager cybersikkerhed alvorligt, hvilket styrker tilliden hos kunder og samarbejdspartnere, og som i sidste ende ruster jer mod det stigende trusselsbillede indenfor cybersikkerhed.