CIO Tech Eksperten IT-JOB IT-Kurser Events Podcast Søg
Cookie ikon

Her er Danmarks fem bedste CIO’er lige nu:Se de fem nominerede til prisen som Årets CIO 2024

Annonceindlæg fra Trustworks

Af Ida Hupfeld, NIS2 ekspert & Peter Lester, projektleder og juridisk ekspert

Beskyt din organisation og styrk jeres cybersikkerhed med NIS2

NIS2 skal forbedre cybersikkerheden i EU ved at stille krav til beskyttelsen af digitale tjenester og produkter, som har samfundsmæssig betydning.

Af Trustworks | Udgivet

 

INTRODUKTION

I en tid hvor teknologi spiller en stadig større rolle i vores hverdag, er cybersikkerhed blevet en altafgørende faktor og risiko for både organisationer og enkeltpersoner. De seneste år har vist, at cyberangreb kan have store konsekvenser for de berørte enheder, herunder tab af data, finansielle tab og forringet omdømme. Derfor er det vigtigere end nogensinde før at beskytte vores digitale systemer mod cybertrusler.

NIS2 har til formål at sikre, at den stærkt stigende digitalisering af samfundet omfattes af tilstrækkelig sikkerhed med henblik på at forbedre det indre markeds funktioner i den Europæiske Union (EU). Formålet er altså på samfundsmæssigt plan, og skal bidrage til at sikre samfundets, og dermed vores alles, interesser.

 

HVAD ER NIS2?

NIS2 er en opdateret version af det oprindelige NIS-direktiv fra 2016, der blev vedtaget for at styrke EU's cybersikkerhed (herunder de enkelte medlemsstaters) samt i sidste ende for at beskytte EU-borgernes digitale rettigheder og friheder. Det overordnede formål med direktivet er at forbedre cybersikkerheden i EU ved at stille krav til beskyttelsen af digitale tjenester og produkter, som har samfundsmæssig betydning.

NIS2 bevæger sig i samspillet mellem jura og IT, hvor fokus skal være på at integrere tekniske- og juridiske aspekter af cybersikkerhed med henblik på at opnå den størst mulige værdi.

NIS2 skal håndhæves fra den 18. oktober 2024, men det anbefales, at jeres organisation allerede nu begynder at forberede jer, så NIS2 ikke bliver en gentagelse af GDPR.

NIS2 er et minimumsdirektiv, hvilket betyder, at medlemsstaterne i EU kan vælge at skærpe kravene til den nationale cybersikkerhed. Hvordan NIS2 bliver implementeret i dansk lovgivning er stadig uklart, men det er dog allerede muligt at forberede sig.

 

 

HVAD ER NYT?

NIS2 øger samarbejdet mellem medlemsstaterne og opretter et netværk af forbindelsesvirksomheder for cyberkriser.

SKÆRPEDE SIKKERHEDSKRAV: Stiller skærpede sikkerhedskrav til risikovurderinger, implementering af sikkerhedsforanstaltninger og etablering af krisestyringsplaner.

STÆRKERE KONTROL OG HÅNDHÆVELSE: Giver udvidet adgang til stærkere kontrol og håndhævelse, herunder inspektioner og kontroller samt forøget mulighed for sanktioner og bøder. Som en tilføjelse i NIS2 kan ledelsen blive holdt personligt ansvarlige for lovbrud.

UDVIDET KRAV TIL RAPPORTERING: Stiller strengere krav til rapportering ved sikkerhedsbrud

UDVIDER ANVENDELSESOMRÅDET: Udvider anvendelsesområdet for reglerne til at omfatte en bredere vifte af organisationer, herunder digitale platforme, cloud-tjenester og online markedspladser.   

FORSYNINGSKÆDESIKKERHED: Indfører krav om at sikre passende tekniske, operationelle og organisatoriske foranstaltninger, som også gælder de omfattedes organisationers direkte leverandører og tjenesteudbydere (forsyningskædesikkerhed).

 

HVEM ER OMFATTET AF NIS2

NIS2 omfatter en bred vifte af organisationer (offentlige og private), der leverer digitale tjenester og produkter i EU, herunder digitale serviceudbydere, offentlige myndigheder, transportsektoren, sundhedssektoren og finansielle tjenesteydere. Som udgangspunkt kræver det, at jeres organisation beskæftiger mere end 50 personer OG har en årlig omsætning eller balance på mere end 10 mio. euro samt er omfattet af nedenstående sektorer.

 

HVAD KRÆVER NIS2 AF DE OMFATTEDE ORGANISATIONER

NIS2 kræver, at alle berørte organisationer skal træffe foranstaltninger for at sikre deres netværks- og informationssystemer samt rapportere om alvorlige sikkerhedsbrud til de nationale myndigheder. Det betyder, at organisationerne skal have en strategi og en handlingsplan for cybersikkerhed på plads og regelmæssigt gennemføre risikovurderinger og test af sikkerheden.

 

RAPPORTERING

NIS2 stiller en række rapporteringskrav, udover at der skal sendes meddelelse til modtagerne af en tjeneste ved et væsentligt “incident”. Denne rapportering skal indgives til Computer Security Incident Response Team (CSIRT’en) eller den kompetente myndighed.

 

KRAV TIL RAPPORTERING

 

MINIMUMSFORANSTALTNINGER

Der er fortsat i NIS2 krav om, at der skal træffes passende og forholdsmæssige tekniske og organisatoriske sikkerhedsforanstaltninger, som skal sikre beskyttelse af net- og informationssystemer, herunder disses fysiske miljøer mod “incidents”.

Kravene er i NIS2 blevet udvidet og omfatter nu som minimum:

  • Politikker for risikoanalyse og informationssystemsikkerhed.
  • Håndtering af “incidents”
  • Driftskontinuitet, såsom backup-styring og reetablering efter en katastrofe, og krisestyring.
  • Forsyningskædesikkerhed (forholdene til direkte leverandører eller tjenesteudbydere).
  • Sikkerhed i forbindelse med erhvervelse, udvikling og vedligeholdelse af net- og informationssystemer.
  • Politikker og procedurer til vurdering af effektiviteten af foranstaltninger til styring af cybersikkerhedsrisici.
  • Grundlæggende cyberhygiejnepraksisser og cybersikkerhedsuddannelse.
  • Politikker og procedurer for kryptografi og kryptering.
  • Personalesikkerhed, adgangskontrolpolitikker og forvaltning af aktiver.
  • Brug af sikre løsninger for interne kommunikationssystemer.

 

HVORDAN KAN NIS2 HJÆLPE DIN ORGANISATION?

NIS2 kan bidrage til at forbedre en række områder i jeres organisation udover at sikre overholdelse af lovgivningen og dermed at undgå eventuelle sanktioner. Eksempler på dette inkluderer:

BEDRE RISIKOSTYRING: Øget fokus på risikostyring kan bidrage til hurtigere at identificere potentielle trusler og sårbarheder og dermed gøre organisationen i stand til at foretage proaktive foranstaltninger. En stærk sikkerhedsprofil kan bidrage til at opbygge tillid hos kunder og samarbejdspartnere og øge organisationens omdømme.

STYRKET SIKKERHED: Ved at implementere sikkerhedsforanstaltningerne omfattet i NIS2 kan organisationens kritiske infrastruktur beskyttes bedre mod cyberangreb, som kan føre til tab af data og beskadiget systemer.

BEDRE INCIDENT MANAGEMENT: Procedurer til håndtering af ”incidents” kan bidrage til, at organisationen kan reagere hurtigt på et “incident” og mindske dets påvirkning på organisationen. Dette kan også hjælpe med at begrænse skadevirkningen for kunder og samarbejdspartnere og opretholde deres tillid. Effektiv håndtering af “incidents” kan derudover føre til mindre økonomisk tab og kortere tid til genopretning, hvilket gavner organisationen på både kort og lang sigt.

KONKURRENCEFORDEL SOM LEVERANDØR: Som en del af NIS2 stilles der krav om forsyningskædesikkerhed, hvilket betyder, at det ikke er nok kun at have styr på den interne sikkerhed. Det skal derimod også sikres, at direkte leverandører til de omfattede organisationer efterlever et tilstrækkeligt sikkerhedsniveau. Ved at have tidligt fokus på NIS2 som leverandør, kan der derved opnås en konkurrencefordel.

 

ANBEFALING

NIS2 kræver fokus på tværgående forankring, som kan være yderst tids- og ressourcekrævende.

Vi anbefaler følgende proces som forberedelse:

Afklaring: Omfattet af NIS2

    • Kritiske sektorer
    • Leverandørstatus
    • Gap-analyse

Identifikation: Driftskritiske aktiver

    • Systemer
    • Hardware
    • Data
    • Infrastruktur

Risikovurdering: Forretningsprocesser

    • Intern/ekstern trusler
    • Sandsynlighed
    • Konsekvenser
    • Prioritering

Implementering: Sikkerhedsforanstaltninger

    • Tekniske løsninger
    • Organisatoriske tiltag
    • Træning og awareness
    • Langsigtede planer

Overvågning: Rapportering og respons

    • Systemer til detektering
    • Hændelsesrapportering
    • Onboarding af medarbejdere
    • Løbende evaluering

 

4 GODE RÅD TIL NIS2 IMPLEMENTERING OG VEDLIGEHOLD

  • Hvis I er omfattet af NIS2, bør I starte med at identificere driftskritiske aktiver, herunder software, hardware, data og infrastruktur, der er afgørende for virksomhedens daglige drift og levere værdi til kunderne.

  • Dernæst bør organisationen lave en risikovurdering af forretningsprocesserne og prioritere sikkerhedsinitiativer og ressourcer mod de processer, der udgør de største risici for organisationen.

  • Efter at have identificeret og vurderet aktiver og forretningsprocesser skal organisationen udarbejde en plan for implementering og vedligeholdelse af passende sikkerhedsforanstaltninger. Det er også vigtigt at have systemer og planer på plads for overvågning og rapportering af hændelser.

  • Endelig anbefales det, at organisationer arbejder med cybersikkerhed i en cirkulær proces og forholder sig proaktivt til trusselsbilledet.


Idas Linkedin: Følg Ida her!

Peters Linkedin: Følg Peter her!

Nysgerring på flere artikler fra Trustworks? Se mere her!

Mere viden fra Trustworks? Følg os på Linkedin! 

Kontaktinfo:

Trustworks

Pustervig 3

1127 Købrenhavn K

http://trustworks.dk

Tilgængelighed er ikke længere kun et krav for offentlige løsninger

Fra 28. juni 2025 skal alle digitale produkter inden for bank, forsikringsselskaber, transport og e-handel være tilgængelige for alle!

Få success med integrationer!

Behovet for dataudveksling stiger dramatisk. Artiklen belyser tre simple trin, som sikrer succes med udvikling og forvaltning af integrationer.

Styrk datadrevet beslutningstagning

Udnyt clouden i kombination med dynamiske datamodeller og eventdrevet arkitektur

Se alle annonceindlæg

Premium
Teaser billede
Køber 25.000 Copilot-licenser af Microsoft i kæmpe-aftale - vil investere milliarder i AI
Læs mere »
"Når jeg engang ikke er her mere, så vil jeg gerne huskes som generøs lige som ham"
Det danske it-lovsystem skal moderniseres: Styrelse søger ene-leverandør til 10-årig kæmpe-kontrakt
7N fra København runder halvanden milliard kroner i omsætning: Beskæftiger nu 1.700 konsulenter
Se alle »
Computerworld
Teaser billede
På tur i BMW's mægtigste elbil: Sådan er livet ombord i en monumental million-ellert
Læs mere »
Her er Danmarks fem bedste CIO’er lige nu: Se de fem nominerede til prisen som Årets CIO 2024
Porno-giganterne Pornhub og XVideos skal indlevere materiale til EU
Test: Denne bærbar beviser, hvorfor man ikke skal handle laptop alene ud fra teknikbladet
Se alle »
CIO
Teaser billede
Nu kan mange flere opgradere deres gamle Windows 10-pc'er til Windows 11: Se om du kan opgradere
Læs mere »
Her er Danmarks fem bedste CIO’er lige nu: Se de fem nominerede til prisen som Årets CIO 2024
På denne dato er det slut med udbredte versioner af Office: Microsoft vil have dig over på de dyrere E3-licenser
Microsoft skruer op for CPU-krav til den næste version af Windows 11: Færre brugere kan nu opdatere
Se alle »
Job & Karriere
Teaser billede
NNIT flytter til det centrale København: Her er selskabets nye hovedkvarter
Læs mere »
Knap 40 procent af disse it-folk tjener tjener mindst 57.000 kroner om måneden
Så meget tjener dine kollegaer: Her er alle data fra Computerworlds store it-lønstatistik for 2024
Medarbejderne fik udleveret badetøfler ved indflytningen: Kom med inden for i IBM Danmarks nye topmoderne hovedkontor
Se alle »
White paper
Teaser billede
Det behøver ikke at gøre ondt: Sådan gør du livet lettere for kunder med multicloud
Læs mere »
Cybersikkerhed: Skær antallet af alarmer ned fra tusindvis til blot en håndfuld
Guide: Sådan udvikler du en moderne netværksstrategi
Nemmere overblik, styring og omkostningskontrol i dit multicloud-miljø
Se alle »

Events
Flere events »
White papers
Flere white papers »
IT-Kurser
Se alle vores it-kurser »