Forbered dig på NIS2 - læs om de nye krav til cybersikkerhed

Selvom NIS2 ikke er implementeret i national lovgivning endnu, og kravene derfor ikke ligger helt fast, kan du med fordel begynde at forberede dig på de overordnede krav.

Lovforslaget stiller krav om cybersikkerhed til:

  • Tiltag, der skal beskytte dine net- og informationssystemer
  • Ledelsen i din organisation
  • Registrering og indberetning af hændelser til de ansvarlige myndigheder.

Denne artikel er baseret på lovforslaget. I de kommende bekendtgørelser vil det være mere tydeligt, hvilke krav din virksomhed eller myndighed præcist skal efterleve. 

Krav til styring af cybersikkerhedsrisici 

Hvis din virksomhed eller myndighed er omfattet af NIS2, skal I have en række planer for styring af cybersikkerhedsrisici og cybersikkerhedstiltag på plads, for at beskytte jeres systemer mod cybertrusler.

Virksomheder og myndigheder skal som minimum indføre følgende cybersikkerhedstiltag:

  1. politikker for risikoanalyse og informationssystemsikkerhed
  2. håndtering af hændelser
  3. driftskontinuitet, såsom backup-styring og reetablering efter en katastrofe, og krisestyring
  4. forsyningskædesikkerhed, herunder sikkerhedsrelaterede aspekter vedrørende forholdene mellem den enkelte virksomhed eller myndighed og dens direkte leverandører eller tjenesteudbydere
  5. sikkerhed i forbindelse med erhvervelse, udvikling og vedligeholdelse af net- og informationssystemer, herunder håndtering og offentliggørelse af sårbarheder
  6. politikker og procedurer til vurdering af effektiviteten af foranstaltninger til styring af cybersikkerhedsrisici
  7. grundlæggende cyberhygiejnepraksisser og cybersikkerhedsuddannelse
  8. politikker og procedurer vedrørende brug af kryptografi og, hvor det er relevant, kryptering
  9. personalesikkerhed, adgangskontrolpolitikker og forvaltning af aktiver
  10. brug af løsninger med multifaktorautentificering eller kontinuerlig autentificering, sikret tale-, video- og tekstkommunikation og sikrede nødkommunikationssystemer internt i enheden, hvor det er relevant.

Når NIS2 bliver implementeret i de nationale bekendtgørelser, bliver det forklaret yderligere, hvordan man i den enkelte sektorer lever op til kravene i NIS2. Det er også muligt, at der inden for den enkelte sektor er behov for yderligere krav til at beskytte enhederne mod cybertrusler.

Krav til ledelsen

Lovforslaget stiller krav til, at ledelsen kender til de lovpligtige cybersikkerhedskrav og slår fast, at det er ledelsens ansvar at sikre, at virksomheden eller myndigheden lever op til kravene.

NIS2-lovforslaget stiller følgende cybersikkerhedskrav til ledelsen:

  • Ledelsen skal godkende de krav til styring af cybersikkerhedsrisici, som implementeres og skal føre tilsyn med at det gennemføres.
  • Ledelsen er forpligtet til at deltage i relevante kurser om styring af cybersikkerhedsrisici, og overveje at tilbyde tilsvarende kurser til sine medarbejdere.

Lovforslaget giver desuden mulighed for, at ledelsen af væsentlige enheder i særligt alvorlige tilfælde kan hjemsendes.

Krav om registrering og indberetning

Virksomheder og myndigheder, der er omfattet af NIS2, skal registrere sig i et offentligt register og indberette væsentlige hændelser.

Registrering

Du skal registrere din virksomhed eller myndighed via et register, der vil være åbent, når loven træder i kraft 1. juli 2025.

Der er forskel på, hvilke oplysninger du skal indgive og hvornår de skal indgives, det afhænger af typen af virksomhed eller myndighed.

Væsentlige og vigtige enheder samt enheder, der leverer domænenavnsregistreringstjenester, skal oplyse:

  1. Enhedens navn
  2. Adresse og ajourførte kontaktoplysninger, herunder e-mailadresser, IP-intervaller og telefonnumre
  3. Den relevante sektor og delsektor som enheden er omfattet af.
  4. Hvis relevant, en liste over de øvrige medlemsstater i Den Europæiske Union, hvor enheden leverer tjenester, der er omfattet af anvendelsesområdet i NIS 2-direktivet.

Når lovforslaget er færdigbehandlet vil det fremgå, hvilken dato oplysningerne senest skal indgives. Hvis virksomheden eller myndigheden bliver omfattet af NIS2 efter den pågældende dato for registrering, eller der efterfølgende er ændringer i de oplysninger, der er afgivet, skal enheden underrette den sektoransvarlige myndighed senest to uger efter. 

DNS-tjenesteudbydere, topdomænenavneadministratorer, enheder der leverer domænenavnsregistreringstjenester og udbydere af cloudcomputingtjenester, datacentertjenester, indholdsleveringsnetværk, administrerede tjenester, administrerede sikkerhedstjenester, onlinemarkedspladser, onlinesøgemaskiner og platforme for sociale netværkstjenester skal oplyse:

  1. Enhedens navn.
  2. Adressen på enhedens hovedforretningssted og dens andre forretningssteder i Den Europæiske Union eller, hvis den ikke er etableret i Unionen, den repræsentant, enheden har udpeget.
  3. Den relevante sektor, delsektor og typen af enhed, som enheden udgør.
  4. Ajourførte kontaktoplysninger, herunder e-mailadresser, IP-intervaller og telefonnumre på enheden og i givet fald kontaktoplysninger på dens repræsentant enheden har udpeget.
  5. De medlemsstater i Den Europæiske Union, hvor enheden leverer tjenester.

Ifølge lovforslaget skal oplysningerne indgives senest tre måneder efter virksomheden eller myndigheden er blevet omfattet. Hvis der efterfølgende er ændringer i de oplysninger, der er afgivet, skal enheden underrette den sektoransvarlige myndighed senest tre måneder efter datoen for ændringen.

Når registeret kan tilgås, kan du finde et link til det her på siden med yderligere oplysninger.

Særlige krav til topdomænenavnsadministratorer og leverandører af domænenavnsregistreringstjenester

NIS2 stiller særlige krav til topdomænenavnsadministratorer og enheder, der leverer domænenavnsregistreringstjenester. Disse krav handler om, at domænenavnsregistreringsdata indsamles og vedligeholdes i en database. Du kan læse mere om dette i lovforslagets § 11.

Indberetning af hændelser

Hvor skal hændelser indberettes?

Der arbejdes på at opdatere den fælles indberetningsløsning på virk.dk, hvor alle virksomheder og myndigheder omfattet af NIS2 kan indberette væsentlige hændelser. Når det er oprettet, kan du finde et link til portalen her.

Væsentlige hændelser der skal indberettes kendetegnes ved at de har:

  1. Forårsaget eller er i stand til at forårsage alvorlige driftsforstyrrelser af tjenesterne eller økonomiske tab for den berørte enhed, eller
  2. påvirket eller er i stand til at påvirke andre fysiske eller juridiske personer ved at forårsage betydelig materiel eller immateriel skade.

I de kommende bekendtgørelser kan der blive fastsat nærmere regler om, hvornår en hændelse anses for at være væsentlig og skal indberettes.

Virksomheder og myndigheder, der oplever en væsentlig hændelse, skal indberette hændelsen efter følgende trin:

  1. Indberette hændelsen indenfor 24 timer: Indenfor 24 timer efter at enheden har fået kendskab til den væsentlige hændelse, skal enheden sende en tidlig varsling med angivelse af, om den væsentlige hændelse mistænkes at være forårsaget af ulovlige eller ondsindede handlinger eller om den kan have en grænseoverskridende virkning.
  2. Ajourføre indberetningen med yderligere information indenfor 72 timer: Indenfor 72 timer efter, at enheden har fået kendskab til den væsentlige hændelse, skal enheden sende en hændelsesunderretning, som ajourfører oplysningerne fra den tidlige varsling og som bl.a. skal indeholde en indledende vurdering af den væsentlige hændelse, herunder dens alvor og indvirkning.
  3. Hvis den nationale CSIRT(Computer Security Response Team) anmoder om det, skal der afgives en foreløbig rapport med relevante statusopdateringer. Denne anmodning kan komme løbende i hændelsesforløbet.
  4. Indsende en endelig rapport om hændelsen, når hændelsen er afsluttet, eller senest efter en måned. Rapporten skal indeholde: detaljeret beskrivelse af hændelsen, trusselstypen eller årsagen til hændelsen, anvendte eller igangværende afbødende foranstaltninger og eventuelle grænseoverskridende virkninger.
  5. Hvis hændelsen stadig pågår på tidspunktet for fremsendelsen af den endelige rapport, skal enheden i stedet sende en statusrapport og en endelig rapport senest en måned efter, at hændelsen er håndteret.

Hvad sker der når jeg har indberettet en hændelse?

Når en virksomhed eller myndighed indberetter en hændelse, sørger den nationale CSIRT(Computer Security Incident Response Team) ifølge lovforslaget for, at de får en tilbagemelding på indberetningen, hvis muligt inden for 24 timer efter modtagelsen af den tidlige varsling.

De oplysninger der er relevante for tilsynet af den pågældende virksomhed eller myndighed, sendes til den sektoransvarlige myndighed.

Derudover skal CSIRT yde vejledning, operativ rådgivning om mulige afbødende foranstaltninger og supplerende teknisk bistand, hvis den virksomhed eller myndighed der indberetter hændelsen anmoder om det.

Skal jeg indberette andre ikke-væsentlige hændelser?

Du kan frivilligt vælge at indberette hændelser, nærved hændelser og cybertrusler, der ikke er karakteriseret som en væsentlig hændelse.

Hvem er sektoransvarlig myndighed på mit område?

Det er ikke endeligt fastlagt, hvilke myndigheder de forskellige sektorer skal registrere sig hos og indberette til i tilfælde af sikkerhedsbrud. Når det er endeligt afklaret, kan du finde en oversigt over myndighederne her.

Sanktioner ved overtrædelse af loven

NIS2-lovforslaget beskriver en række sanktionsmuligheder, som kan tages i brug, hvis de omfattede virksomheder og myndigheder ikke efterlever kravene; herunder bøder.

Bødestørrelsen varierer alt efter om man er omfattet som en væsentlig eller vigtig enhed og afhænger af omstændighederne i den individuelle sag. 

For væsentlige enheder lægges der op til, at bødens størrelse maksimalt vil udgøre et beløb svarende til 10.000.000 euro eller 2 % af enhedens samlede globale årsomsætning i det foregående regnskabsår alt efter, hvad der er højest.

For vigtige enheder lægges der op til, bødens størrelse maksimalt vil udgøre et beløb svarende til 7.000.000 euro eller 1,4 % af enhedens globale årsomsætning i det foregående regnskabsår, alt efter, hvad der er højest.

Du kan læse mere om bøder i lovforslagets § 32 og i lovbemærkningerne.

 

 Du kan læse NIS2-lovforslaget her

Lovforslaget om NIS2 er under behandling og derfor kan der forekomme ændringer til ovenstående. Denne side opdateres løbende i takt med yderligere afklaringer.   

Senest opdateret 15-10-2024