NIS2 kommer i 2024 – og du bør gøre dig klar nu

NIS2 er et nyt EU-direktiv, som skal være implementeret i mange danske virksomheder i oktober 2024. Og selv om der er knapt et år til, bør din virksomhed forberede sig på det nu. Direktivet stiller nemlig større krav til cybersikkerheden, og de nødvendige tiltag kan tage tid at implementere, afhængigt af virksomhedens nuværende sikkerhedsniveau.

Hvem skal implementere NIS2?

Det skal de virksomheder, som vurderes at være af samfundskritisk betydning, dvs. dem, der opererer inden for energi, transport, finans, sundhed, drikkevand, spildevand, infrastruktur (både digital og fysisk), offentlig forvaltning, post, affaldshåndtering, kemikalier, fødevareproduktion m.m.

Industriens fond har kortlagt hvilke virksomheder der er berørt af NIS2.

Der er foreløbig tale om flere end 1.000 danske virksomheder. Og selv om din virksomhed ikke direkte er en af dem, bør du alligevel sørge for at opfylde de nye krav, for også de virksomheder, som er leverandører til dem, vil skulle leve op til kravene for at kunne fortsætte samarbejdet.

Hvad er formålet med NIS2?

Vi er som samfund mere og mere afhængige af digitale systemer og netværk, og truslerne bliver stadigt større og mere avancerede. Derfor skal vi øge cybersikkerheden – altså sikre mod, at samfundskritiske områder kan lammes af digitale angreb.

Virksomheden skal altså leve op til nogle minimumskrav, som er formuleret sådan her i direktivet:

a) politikker for risikoanalyse og informationssystemsikkerhed

b) håndtering af hændelser

c) driftskontinuitet, såsom backup-styring og reetablering efter en katastrofe, og krisestyring

d) forsyningskædesikkerhed, herunder sikkerhedsrelaterede aspekter vedrørende forholdene mellem den enkelte enhed og dens direkte leverandører eller tjenesteudbydere

e) sikkerhed i forbindelse med erhvervelse, udvikling og vedligeholdelse af net- og informationssystemer, herunder håndtering og offentliggørelse af sårbarheder

f) politikker og procedurer til vurdering af effektiviteten af foranstaltninger til styring af cybersikkerhedsrisici

g) grundlæggende cyberhygiejnepraksisser og cybersikkerhedsuddannelse

h) politikker og procedurer vedrørende brug af kryptografi og, hvor det er relevant, kryptering

i) personalesikkerhed, adgangskontrolpolitikker og forvaltning af aktiver

j) brug af løsninger med multifaktorautentificering eller kontinuerlig autentificering, sikret tale-, video- og tekstkommunikation og sikrede nødkommunikationssystemer internt i enheden, hvor det er relevant.

Virksomhederne skal indrapportere hændelser, der påvirker cybersikkerheden, til myndighederne, og det vil være ledelsens ansvar, at de nye krav overholdes. Sker det ikke, kan konsekvensen være store bøder og suspendering af ledelsen.

De øgede krav er en fordel for virksomhederne selv

Det er altså en stor og alvorlig opgave, der venter virksomhederne, men de tiltag, virksomhederne er nødt til at iværksætte, vil samtidig øge trygheden og sikkerheden i den enkelte virksomhed, og dermed styrke den. Ifølge cyberbarometer.dk giver det endda konkurrencefordele i form af effektivitet, nytænkning, tillid og øget bundlinje. Vil du læse hele NIS2-direktivet, findes det her: https://eur-lex.europa.eu/legal-content/DA/TXT/HTML/?uri=CELEX:32022L2555&qid=1701198050883

Skal du have hjælp til at få styr på det?

tjek Ri/Regnskabsskolens kursus i NIS2 her:

NIS2 på én dag

About Regnskabsskolen

Hos os finder du kortere og længerevarende kurser, der dækker alt, fra det første bilag i virksomheden skal bogføres, til årsregnskabet ligger klar. Og siden vi i 2023 blev en del af Ri Statsautoriseret Revisionsaktieselskab, har vi også kunnet klæde dig på til at leve op til både din virksomheds interne it-sikkerhedspolitikker og til de officielle krav til f.eks. GDPR og NIS2.

, , , ,

Comments are closed.