NIS2

Europæisk og national lovgivning om cybersikkerhed for organisationer.

Den nye europæiske direktiv, Netværks- og Informationssikkerhedsdirektiv 2 (NIS2), forventes at træde i kraft i dansk lovgivning 1. marts 2025. Det nye direktiv stiller betydelige krav til cyber- og informatiossikkerhedsniveauet for organisationer i forskellige kritiske samfundssektorer, der er karakteriseret som væsentlige eller vigtige.

Disse påkrævede, risikobaserede cybersikkerhedsforanstaltninger kan effektivt bidrage til et højere sikkerhedsniveau, og mange af elementerne vil allerede være inkluderet i organisationernes cybersikkerhedspolitik. Men manglende overholdelse af disse obligatoriske foranstaltninger kan medføre bindende instrukser, tilsyn, bøder eller forbyder personer fra ledelsesfunktioner.

BDO Global har udviklet et tydeligt NIS2-vurderingsværktøj, som straks kan give dig indsigt i din aktuelle situation. Du kan få adgang til værktøjet ved at klikke på knappen nedenfor.

Sådan fungerer det

Kort om NIS2:

I denne artikel forklarer vi de væsentligste krav, hvem det er relevant for og de bedste praksisser for overholdelse af NIS2.

Hvor står du?

For at sikre, at din organisation er klar til de lovpligtige krav i tide, er det vigtigt at starte med forberedelserne nu. Selvom kravene endnu ikke er fuldstændigt formaliseret i dansk lovgivning, er det tydeligt, hvilken retning det bevæger sig i, og der er paralleller med eksisterende rammer og god praksis, såsom ISO 27001.
 
Kør NIS2 Analyzer nu, og få et overblik over, hvor du står i dag.

Hvad?

NIS2 pålægger minimumskrav til foranstaltninger til styring af cybersikkerhedsrisici, hvor der skal være passende og forholdmæssige tekniske, operationelle og organisatoriske foranstaltninger. Organisationer skal have en risikobaseret tilgang til sikkerhed, hvor mitigerende foranstaltninger og tiltag skal være proportionale med risici. 
 
Minimumskravene til foranstaltninger kan ses i artikel 21. Derudover medfører NIS2 rapporteringsforpligtigelser for omfattet organisationer samt ledelsesforankring af cyber- og informationssikkerhed.
 
Læs mere i direktivet: EUR-Lex – 32022L2555 (europa.eu).

hvem?

Organisationer, der vil være omfattet af NIS2, er af kritisk betydning for samfundet, hvor nedbrud vil have væsentlige økonomiske eller sundhedsmæssige konsekvenser. Der er udpeget 18 sektorer som er beskrevet i NIS2-direktivets bilag 1 og 2, som vurderes som kritiske. Derudover skal organisationer være placeret eller udføre deres primære aktiviteter inden for unionens grænser og opfylde størrelseskravet.  
 
Der vil dog være visse organisationer der er omfattet uanset deres størrelse. Derudover lægges der op til, at loven også vil gælde for enheder, der lever op til en række kriterier i relation til deres samfundsmæssige betydning herunder, bl.a. hvis enheden er den eneste udbyder af en væsentlig tjeneste, eller hvis forstyrrelser af tjenesten kan have alvorlige samfundsmæssige følgevirkninger.
 
NIS2 skelner mellem ”væsentlige” og ”vigtige” enheder.
 
Om man er en væsentlig eller en vigtig enhed har betydning for, hvordan man er omfattet af NIS2.
 
I lovforslaget er kravene til foranstaltninger de samme, men der lægges op til, at der føres et mere tæt tilsyn med væsentlige enheder end der gør med vigtige. Samtidig vil væsentlige enheder kunne pålægges større bøder end vigtige enheder.
 
Hvis du har spørgsmål, er du velkommen til at kontakte os for ekspertise og support.

Hvilke organisationer?

NIS2-direktivet er rettet mod flere typer virksomheder og organisationer end det oprindelige NIS-direktiv. Dette betyder, at der nu er flere offentlige og private organisationer, der skal overholde reglerne.
De organisationer, der nu omfattes af NIS2 omfatter:

Bilag 1 sektorer Bilag 2 sektorer
  • Energi
  • Transport
  • Bankvirksomhed
  • Finansielle markedsinfrastrukturer
  • Sundhed
  • Drikkevand
  • Digital infrastruktur
  • Forvaltning af IKT-tjenester (business to business)
  • Spildevand
  • Offentlig forvaltning
  • Rummet
  • Digitale udbydere
  • Post- og kurertjenester
  • Affaldshåndtering
  • Produktion, tilvirkning og distribution af fødevarer
  • Fremstilling, produktion og distribution af kemikalier
  • Forskning
  • Fremstilling

Væsentlige enheder:

Der lægges op til at større virksomheder, som beskæftiger mindst 250 personer og har en årlig omsætning på over 50 mio. euro eller en årlig samlet balance på over 43 mio., der opererer i sektorer af særlig kritisk betydning, visse digitale udbydere, statslige myndigheder, enheder omfattet af den danske implementering af CER-direktivet, samt enheder, der var omfattet af NIS1, vil være væsentlige enheder.

Virksomheder, der er omfattet af loven på grund deres særlige samfundsmæssige betydning, vil i udgangspunktet også være væsentlige enheder. Derudover vil virksomheder inden for sektorerne offentlige elektroniske kommunikationsnet og offentligt tilgængelige elektroniske kommunikationstjenester vil også være væsentlige enheder, hvis de beskæftiger mindst 50 personer og har en årlig omsætning eller en samlet årlig balance på over 10 mio. euro.

Vigtige enheder:

Virksomheder, som er omfattet af NIS2, der ikke er karakteriseret som en væsentlig enhed, er en vigtig enhed.

Vores ydelser

Vi kan hjælpe din virksomhed i at efterleve NIS2 og de nødvendige cybersikkerhedsforanstaltninger. Vi tilbyder en lang række services, så ræk endelig ud hvis du har brug for sparring.

Scoping

Identificere og skabe et overblik over alle relevante aktiver og forretningsprocesser, som bliver omfattet af NIS2.

Ledelsesansvar

Udarbejdelse af rapporteringsmetodik og fastlægge ledelsesansvar samt organisering af implementeringsarbejdet.

Risikostyring

Baseret på internationale og anerkendte standarder kan vi bidrage med viden og værktøjer til at risikovurdere jeres aktiver, leverandører og forretningsprocesser samt implementering af foranstaltninger.

Forsyningssikkerhed

Identificere relevante leverandører og implementere leverandørstyring.

Beredskabsplan

Vi kan hjælpe med at udarbejde en beredskabsplan samt udarbejde og afprøve procedurer, hvis en hændelse indtræffer.

Hændelsesrapportering

Procedurer for hændelseshåndtering og indrapportering.

Kontakt os endelig!

© 2024 BDO Canada LLP