Home » AOD Pro » Nyt EU-sikkerhedsdirektiv kan blive en dyr omgang for nogle virksomheder
Nyt EU-sikkerhedsdirektiv kan blive en dyr omgang for nogle virksomheder

Nyt EU-sikkerhedsdirektiv kan blive en dyr omgang for nogle virksomheder

Share

Nye EU-krav er på vej til virksomheder i bestemte sektorer, og det kan blive dyrt. I starten af 2024 træder det nye NIS2-direktiv i kraft, der regulerer virksomheder og myndigheder på cyber- og informationssikkerhedsområdet

Når de nye europæiske sikkerhedskrav, NIS2, træder i kraft i starten af 2024 betyder det, at danske virksomheder i kritiske sektorer skal forholde sig til blandt andet øgede krav til risikostyring, kontrol og tilsyn. Samtidig skal organisationerne være opmærksomme på, at de selv er forpligtede til at finde ud af, hvorvidt de er omfattet af NIS2 eller ej.

EU-direktivet NIS2, som nu skal implementeres i dansk lovgivning, er en videreførelse af NIS fra 2018, og det dækker en række nye sektorer. NIS2-direktiv skal imødekomme de behov, der er opstået som følge af den stadig stigende trussel for cyberkriminalitet. Og det gør op med uhensigtsmæssigheder i det oprindelige direktiv, hvor de enkelte medlemslande i nogen grad kunne definere, hvilke sektorer og organisationer der skulle være omfattet af NIS-direktivet.

Her er sektorerne

NIS2 stiller tekniske minimumskrav til statslige institutioner og til private virksomheder, men kun inden for bestemte sektorer. Med NIS2 er det it-, energi-, transport-, sundheds-, finans- og fødevaresektoren.

Flere rådgivningsvirksomheder har allerede kridtet skoene og er parate til at rådgive virksomheder om direktivets konsekvenser. Blandt dem er PwC. Og her forklarer Mads Nørgaard Madsen, partner og leder af Consulting – Technology & Security, i en meddelelse, at der ikke vil være nogen myndighed, der udpeger og varsler organisationerne.

Se også:  Et kreditkort fra Danmark koster 17 dollars på det mørke internet

”Fra starten af 2024 er virksomhederne og myndigheder forpligtet til at leve op til kravene, og derfor er det en fordel at komme i gang nu frem for at vente, da det tidligere har vist sig, at det har været en omfattende opgave for de organisationer, der var omfattet af NIS1. Hvis virksomhederne og myndighederne har en ledelsesforankret risikoproces i forvejen, er det en klar fordel. Hvis ikke, venter en omfattende proces forude,” skriver Mads Nørgaard Madsen.

22 procent højere omkostninger

Helt billigt bliver det ikke for de berørte virksomheder. Det anslås, at de virksomheder der er omfattet af NIS2-direktivet, vil få deres nuværende udgifter til sikkerhed forøget med 22 procent i de første år efter indførelsen af direktivet.

Virksomheder bør ikke tage NIS2 for let. For Mads Nørgaard Madsen påpeger, at hvis virksomheden ikke lever op til de skærpede krav, kan de potentielt se frem til bøder på samme måde som med GDPR.

6 skridt: Sådan kommer du godt i gang med NIS2
Hvordan kommer man bedst og billigst i gang med en NIS2-proces? Her er PwC’s anbefalinger.

Se også:  Sikkerhedsekspert om Log4Shell: Uvisheden er det værste

1. Virksomheder skal få foretaget en modenhedsvurdering og sikre, at ledelsen bakker op. Vurderingen skal vise, hvilke investeringer og kompetencebehov virksomheden skal bruge for at få implementeringen til at lykkes.

2. Sørg for at ramme de driftskritiske aktiver. NIS2-direktivet skal beskytte kritisk infrastruktur, forsyningskæder til kritisk infrastruktur og andre samfundsvigtige funktioner.

3. Brug ”best practice”-værktøjer. NIS2-direktivet stiller krav til implementering af ledelsessystemer for informationssikkerhed. Derfor skal virksomheder bruge internationale standarder som styringsramme.

4. Beskriv risikoprocessen. Fordi NIS2-direktivet stiller krav til en risikobaseret tilgang til informationssikkerhed, skal risikoprocessen beskrives og efterleves. Samtidig skal der implementeres skadesforebyggende foranstaltninger, der formindsker risici.

5. Hurtig reaktion. NIS2 stiller krav til, at virksomheder skal rapportere hændelser til CSIRT inden for 24 timer. Samtidig skal de løbende opdatere CSIRT med status på hændelser og eventuelle kompromitteringer. Fordi NIS2 er en EU-standard, skal det vurderes om hændelsen kan have effekt på flere medlemsstater, og hvis det er tilfældet, vil den blive rapporteret videre til det europæiske cyberagentur, ENISA.

6. Start forfra. Modenheds- og risikoprocessen skal gentages med jævne mellemrum, så risici bliver identificeret og mitigeret.


TAGS
EU
NIS
NIS2
sikkerhed

DEL DENNE
Share


Mest populære
Populære
Nyeste
Tags

Find os på de sociale medier

Find os på FaceBook

AOD/AOD.dk

Brogårdsvej 22
DK-2820 Gentofte
Telefon: 33 91 28 33
redaktion@aod.dk

Audio Media A/S

CVR nr. 16315648,
Brogårdsvej 22
DK-2820 Gentofte
Telefon: 33 91 28 33
info@audio.dk
Annoncesalg:
Lars Bo Jensen: lbj@audio.dk Telefon: 40 80 44 53
Annoncer: Se medieinformation her
Annoncelinks


AOD/AOD.dk   © 2022
Privatlivspolitik og cookie information - Audio Media A/S