Artikel top billede

(Foto: Computerworld)

Nyt EU-sikkerhedsdirektiv kan blive en dyr omgang for nogle virksomheder

Nye EU-krav er på vej til virksomheder i bestemte sektorer, og det kan blive dyrt. I starten af 2024 træder det nye NIS2-direktiv i kraft, der regulerer virksomheder og myndigheder på cyber- og informationssikkerhedsområdet.

Af Lars Bennetzen, Alt om Data

Denne artikel er oprindeligt bragt på Alt om Data. Computerworld overtog i november 2022 Alt om Data. Du kan læse mere om overtagelsen her.

Når de nye europæiske sikkerhedskrav, NIS2, træder i kraft i starten af 2024 betyder det, at danske virksomheder i kritiske sektorer skal forholde sig til blandt andet øgede krav til risikostyring, kontrol og tilsyn. Samtidig skal organisationerne være opmærksomme på, at de selv er forpligtede til at finde ud af, hvorvidt de er omfattet af NIS2 eller ej.

EU-direktivet NIS2, som nu skal implementeres i dansk lovgivning, er en videreførelse af NIS fra 2018, og det dækker en række nye sektorer. NIS2-direktiv skal imødekomme de behov, der er opstået som følge af den stadig stigende trussel for cyberkriminalitet. Og det gør op med uhensigtsmæssigheder i det oprindelige direktiv, hvor de enkelte medlemslande i nogen grad kunne definere, hvilke sektorer og organisationer der skulle være omfattet af NIS-direktivet.

Her er sektorerne

NIS2 stiller tekniske minimumskrav til statslige institutioner og til private virksomheder, men kun inden for bestemte sektorer. Med NIS2 er det it-, energi-, transport-, sundheds-, finans- og fødevaresektoren.

Flere rådgivningsvirksomheder har allerede kridtet skoene og er parate til at rådgive virksomheder om direktivets konsekvenser. Blandt dem er PwC. Og her forklarer Mads Nørgaard Madsen, partner og leder af Consulting – Technology & Security, i en meddelelse, at der ikke vil være nogen myndighed, der udpeger og varsler organisationerne.

”Fra starten af 2024 er virksomhederne og myndigheder forpligtet til at leve op til kravene, og derfor er det en fordel at komme i gang nu frem for at vente, da det tidligere har vist sig, at det har været en omfattende opgave for de organisationer, der var omfattet af NIS1. Hvis virksomhederne og myndighederne har en ledelsesforankret risikoproces i forvejen, er det en klar fordel. Hvis ikke, venter en omfattende proces forude,” skriver Mads Nørgaard Madsen.

22 procent højere omkostninger

Helt billigt bliver det ikke for de berørte virksomheder. Det anslås, at de virksomheder der er omfattet af NIS2-direktivet, vil få deres nuværende udgifter til sikkerhed forøget med 22 procent i de første år efter indførelsen af direktivet.

Virksomheder bør ikke tage NIS2 for let. For Mads Nørgaard Madsen påpeger, at hvis virksomheden ikke lever op til de skærpede krav, kan de potentielt se frem til bøder på samme måde som med GDPR.

6 skridt: Sådan kommer du godt i gang med NIS2

Hvordan kommer man bedst og billigst i gang med en NIS2-proces? Her er PwC’s anbefalinger.

1. Virksomheder skal få foretaget en modenhedsvurdering og sikre, at ledelsen bakker op. Vurderingen skal vise, hvilke investeringer og kompetencebehov virksomheden skal bruge for at få implementeringen til at lykkes.

2. Sørg for at ramme de driftskritiske aktiver. NIS2-direktivet skal beskytte kritisk infrastruktur, forsyningskæder til kritisk infrastruktur og andre samfundsvigtige funktioner.

3. Brug ”best practice”-værktøjer. NIS2-direktivet stiller krav til implementering af ledelsessystemer for informationssikkerhed. Derfor skal virksomheder bruge internationale standarder som styringsramme.

4. Beskriv risikoprocessen. Fordi NIS2-direktivet stiller krav til en risikobaseret tilgang til informationssikkerhed, skal risikoprocessen beskrives og efterleves. Samtidig skal der implementeres skadesforebyggende foranstaltninger, der formindsker risici.

5. Hurtig reaktion. NIS2 stiller krav til, at virksomheder skal rapportere hændelser til CSIRT inden for 24 timer. Samtidig skal de løbende opdatere CSIRT med status på hændelser og eventuelle kompromitteringer. Fordi NIS2 er en EU-standard, skal det vurderes om hændelsen kan have effekt på flere medlemsstater, og hvis det er tilfældet, vil den blive rapporteret videre til det europæiske cyberagentur, ENISA.

6. Start forfra. Modenheds- og risikoprocessen skal gentages med jævne mellemrum, så risici bliver identificeret og mitigeret.




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Also A/S
Salg af serviceydelser inden for logistik, finansiering, fragt og levering, helhedsløsninger, digitale tjenester og individuelle it-løsninger.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Bliv klar til AI Act: Det vil påvirke både din udvikling, drift og organisation

Fordelene ved at anvende kunstig intelligens bliver stadig mere udtalte, og både som virksomhed og myndighed er det i stigende grad uholdbart ikke at udforske mulighederne. Men der er også risici forbundet på den nye teknologi, og på dette formiddagsseminar ser vi på, hvordan verdens første regulatoriske kompleks – EUs kommende AI Act – adresserer behovet for en etisk, ansvarlig og kontrolleret anvendelse af AI.

20. august 2024 | Læs mere


Det Digitale Produktpas

Kom med og hør om, hvordan du kommer i gang med at sikre din virksomhed er klar til Det Digitale Produktpas. Vi sætter fokus på, hvordan du bliver klædt på til at få styr og struktur på dine data, samt hvilke krav du skal sætte til dine leverandører og andre i din værdikæde, for at sikre den nødvendige information er tilgængelig.

21. august 2024 | Læs mere


Cyber Security Summit 2024

På Cyber Security Summit får du indsigt i det aktuelle trusselslandskab, overblikket over de nyeste værktøjer og trends indenfor sikkerhedsløsninger, indsigt i de relevante rammeværktøjer og krav samt de bedste løsninger og værktøjer til at sikre effektiv drift og høj compliance.

27. august 2024 | Læs mere