NIS2-loven træder i kraft den 1. juli med konsekvenser for leverandørleddet

Når EU’s NIS2-lov træder i kraft den 1. juli 2025, har virksomheder og enheder tre måneder til at implementere de nødvendige foranstaltninger. 

Loven skal løfte cybersikkerheden i samfundskritiske sektorer og hos centrale virksomheder og offentlige myndigheder – og stiller øgede krav til både styring og rapportering af cybersikkerhedsrisici. 

Udvidet regulering og registreringspligt

NIS2 har et langt bredere anvendelsesområde end den oprindelige NIS-lov. Fremover omfattes både “væsentlige” og “vigtige” enheder inden for bl.a. energi, sundhed, transport, finans og digital infrastruktur samt visse digitale tjenester. 

Virksomheder får ikke direkte besked om, hvorvidt de er omfattet, men skal selv vurdere deres status ud fra kriterier fastsat i lovgivningen – og registrere sig hos den relevante sektormyndighed.  Det kan f.eks. være Energistyrelsen, Sundhedsdatastyrelsen eller Erhvervsstyrelsen. 

Styrelsen for Samfundssikkerhed har lanceret en digital tjeneste, der kan hjælpe virksomheder med at afklare, om de er omfattet af NIS2 – gå til NIS2-tjek.

Ny vejledning fra SAMSIK 

Den tredje og nyeste vejledning fra Styrelsen for Samfundssikkerhed (SAMSIK) gør det nemmere at forstå og prioritere kravene til tekniske, organisatoriske og operationelle foranstaltninger. 

Vejledningen tydeliggør, hvad der kræves for at overholde NIS2, og hjælper virksomheder med at prioritere og dokumentere arbejdet.

Her er nogle af nøglepunkterne: 

• Ledelsesansvar
  Topledelsen (direktion/bestyrelse) skal aktivt eje cybersikkerheden og kan holdes ansvarlig ved manglende compliance.
• Risikodokumentation
  Der skal foreligge konkret og dokumenteret risikostyring – ikke blot hensigtserklæringer.
• Incidenthåndtering og rapportering
  Virksomheder bør forberede sig på hændelsesrapportering med processer for logning, alarmering og dokumentation.
• Forsyningskædesikkerhed
  Risikobaseret analyse af leverandører er et krav. Det skal sikres, at sikkerhedsforanstaltninger følges hele vejen gennem kæden.
• Backup og driftskontinuitet
  Backupløsninger, tests af gendannelse og vurderinger af acceptable RTO’er skal være på plads.
• Adgangskontrol og kryptering
  Der stilles krav om politikker for adgangsstyring, MFA og sikker nøglehåndtering.
• Awareness og personalesikkerhed
  Regelmæssig uddannelse og dokumentation af ansvar er afgørende.
• Standarder som reference
  Frameworks som ISO 27001 og NIST kan hjælpe med dokumentation – men erstatter ikke kravene.

Leverandører vil være indirekte, men væsentligt berørt

Selvom mange danske virksomheder direkte bliver omfattet af NIS2-lovgivningen, vil en endnu større gruppe blive indirekte påvirket i egenskab af leverandører til NIS2-omfattede organisationer. Disse leverandører bliver i praksis en del af de omfattede virksomheders risikobillede, og det må forventes, at krav til dokumentation og sikkerhedsforanstaltninger vil blive udstrakt til leverandørleddet.

Leverandører vil som udgangspunkt ikke være underlagt direkte myndighedstilsyn, men NIS2-omfattede kunder vil med stor sandsynlighed efterspørge dokumentation for, at sikkerhedskrav overholdes. Det kan ske via kontraktuelle krav, risikovurderinger og auditforespørgsler. 

Mange leverandører kender allerede dette i dag, når de fra kunder modtager auditforespørgsler om GDPR, ISO-kontroller eller andre tekniske forespørgsler.

En ny ISAE 3000-standard til NIS2 – et revisionsbaseret bevis for compliance

I lighed med GDPR-regimet har branchen allerede etableret et uafhængigt og struktureret dokumentationsformat: ISAE 3000-erklæringen med fokus på NIS2-kontroller.

Denne erklæring udarbejdes af en uafhængig revisor og dokumenterer, om virksomheden har etableret og implementeret passende kontroller i forhold til de krav, NIS2 forudsætter.

Et nyt paradigme – udarbejdet af cybersikkerhedsudvalget i FSR – danske revisorer, hvor Grant Thornton er repræsenteret – sikrer ensartethed i erklæringerne.

Paradigmet bygger på samme principper som ISAE 3000 GDPR-erklæringen, som mange virksomheder i dag bruger som dokumentation over for kunder og myndigheder til at dokumentere compliance mellem dataansvarlige og databehandlere.

Risikobaseret tilsyn og rollefordeling

NIS2 er – ligesom GDPR – baseret på en risikobaseret tilgang. 

Det betyder, at tilsyn og krav skal tilpasses virksomhedens risikoprofil og at organisationer skal vurdere deres leverandørers rolle og tjenester og derefter fastsætte et passende tilsynsniveau. 

Der vil dog være forskelle i anvendelsen: Hvor GDPR er reguleret centralt af Datatilsynet, vil NIS2 blive håndhævet af flere sektorspecifikke myndigheder. Derfor må det forventes, at ISAE 3000 NIS2-paradigmet løbende vil blive justeret i takt med, at vejledninger, praksis og tilsynsmodeller konkretiseres.

I højrisikoscenarier – f.eks. ved outsourcing af driftskritiske systemer eller informationssikkerhedstjenester – vil en ISAE 3000-erklæring ofte være den eneste tilstrækkeligt stærke dokumentation, grundet dens dybdegående test, revisors rolle som uafhængig og generelt brede anerkendelse fra branchen. 

Det kan Grant Thornton hjælpe med

Hos Grant Thornton sidder vores IT Risk Assurance-team klar til at hjælpe jer med at navigere i:

• Implementering af NIS2-krav og etablering af kontroller
• Forberedelse til kundeforespørgsler og tilsyn
• Undervise ledelse (direktion og/eller bestyrelse) i NIS2
• Udfærdigelse af ISAE 3000 NIS2-erklæringer med baggrund i gældende paradigme
• Rådgivning omkring risikovurdering, dokumentation og governance
• Vi arbejder både med NIS2-omfattede organisationer og med leverandører til NIS2-omfattede organisationer.

Vi arbejder både med NIS2-omfattede organisationer og med leverandører til NIS2-omfattede organisationer.

Kontakt os for en uforpligtende snak om hvordan vi kan hjælpe jer igennem de nye NIS2-krav.

Kildehenvisninger:

» SAMSIK: Ny vejledning om implementering af NIS 2-lovens cybersikkerhedsforanstaltninger

» Digitaliseringsstyrelsen: Tilsyn med NIS 2