Nyt EU-direktiv for cybersikkerhed NIS2 er på vej. Er din virksomhed klar til det?
Net- og informationssikkerhedsdirektivet (NIS) var den første EU-dækkende lovgivning om cybersikkerhed, og dets specifikke mål var at opnå et højt fælles niveau af cybersikkerhed på tværs af medlemsstaterne. Selv om det øgede medlemsstaternes cybersikkerhedskapaciteter, viste det sig at være vanskeligt at implementere.
For at reagere på de voksende trusler fra digitalisering og stigningen i cyberangreb, valgte EU at erstatte NIS-direktivet og dermed styrke sikkerhedskravene, adressere sikkerheden i forsyningskæder, strømline rapporteringsforpligtelser og indføre strengere tilsynsforanstaltninger og strengere håndhævelseskrav. Dette nye direktiv blev til NIS2, hvilket forventeligt bliver stemt igennem i efteråret 2022. Herefter har omfattede enheder 18 måneder til at opnå et tilstrækkeligt niveau for cybersikkerhed.
Hvad er NIS2?
NIS2 skal sikre, at den kritiske infrastruktur i Europa bliver løftet op på et sikkerhedsniveau, der er forsvarligt ift. nutidens risikobillede. Dette gøres ved at stille en række krav til virksomheder om processer, tekniske kontroller og uddannelse indenfor cybersikkerhed.
Er din virksomhed omfattet?
NIS2 udvider de omfattede sektorer således, at en række nye brancher samt private aktører også omfattes af direktivet. Endvidere opdeles enheder i kategorierne væsentlige og vigtige indenfor de enkelte brancher.
Hvad skal jeg efterleve?
Artikel 21 i direktivet fremsætter de krav, som en enhed underlagt NIS2 direktivet som minimum skal efterleves.
1) Politikker for risikoanalyse og informationssystemsikkerhed
2) Sikkerhedsforanstaltninger ifbm håndtering af hændelser, herunder forebyggelse opdagelse og reaktion
3) Sikkerhedsforanstaltninger ifbm driftskontinuitet og genskabelse
4) Sikkerhedsforanstaltninger ifbm forsyningskædesikkerhed, herunder leverandørstyring
5) Sikkerhedsforanstaltninger ifbm erhvervelse og udvikling af informationssystemmer
6) Test og revision til vurdering af effektiviteten af foranstaltninger
7) Sikkerhedsforanstaltninger ifbm brug af kryptografi og kryptering
Direktivet stiller først og fremmest krav til, at enheder har styr på deres risikovurderinger ifm. cybertruslen imod kritiske informationssystemer. Endvidere udvides indberetningskrav, således at enheder er forpligtet til at indberette enhver hændelse, der har en væsentlig indvirkning på levering af tjenester og enhver væsentlig cybertrussel, som potentielt kunne have resulteret i en hændelse.
Slutteligt stiller direktivet øget krav om uddannelse af både ledelsen samt personale, således at de er i stand til at vurdere risici forbundet med cybertruslen i tilstrækkelig grad.
NIS2 i praksis
NIS2 direktivet betyder, at din virksomhed skal foranstalte processer og tekniske kontroller til at stå imod den cybertrussel, der findes i dag. Og nyheden her er, at der ikke er så meget nyt for specialister som Fellowmind. Vi har mange års erfaring med at implementere disse typer af kontroller i alle typer organisationer.
Dette omhandler alt fra at få identificeret og mitigeret potentielle risici til at få implementeret og driftet et SIEM system, der kan hjælpe med at identificere, forhindre og udrede igangværende cyberangreb. Det handler altså stadigt om basale ting som at få styr på klienter, software og sårbarheder.
Det nye i NIS2 er, at man som virksomhed har pligt til at dokumentere, at man opholder et væsentligt niveau af cybersikkerhed, samt at man i tilfælde af en cybersikkerheds hændelse har indrapporteringspligt til den tilsynsførende myndighed
Fellowmind hjælper jer med at blive klar til NIS2
Fellowmind kan fx hjælpe jer med:
- At identificere risici i jeres informationssystemer forbundet med den nuværende cybertrussel
- At implementere en mitigerende cybersikkerheds baseline, der omfatter de påkrævede kontroller fremsat af Center for cybersikkerhed, som værende nødvendige for at opnå et tilstrækkeligt cybersikkerhedsniveau
- At uddanne personale og ledelse i at forstå og vurdere den aktuelle cybertrussel
- At opdage, forhindre, udrede og indrapportere potentiele cybersikkerhedshændelser
Tag fat i Frederik Stengaard Mehlsen, Technical Solution Manager for Cyber Security for at høre mere. I kan også downloade vores onepager, hvor vi kommer nærmere ind på, hvordan vi kan hjælpe jer med at efterleve det nye direktiv.
Download vores onepager om NIS2 gratis her
Kontakt
Jesper Johansen
Director - Cloud, Infrastructure & Security
+45 22 49 00 94
jesper.johansen@fellowmind.dk