Artikel top billede

(Foto: Computerworld)

Nyt EU-sikkerhedsdirektiv kan blive en dyr omgang for nogle virksomheder

Nye EU-krav er på vej til virksomheder i bestemte sektorer, og det kan blive dyrt. I starten af 2024 træder det nye NIS2-direktiv i kraft, der regulerer virksomheder og myndigheder på cyber- og informationssikkerhedsområdet.

Af Lars Bennetzen, Alt om Data

Denne artikel er oprindeligt bragt på Alt om Data. Computerworld overtog i november 2022 Alt om Data. Du kan læse mere om overtagelsen her.

Når de nye europæiske sikkerhedskrav, NIS2, træder i kraft i starten af 2024 betyder det, at danske virksomheder i kritiske sektorer skal forholde sig til blandt andet øgede krav til risikostyring, kontrol og tilsyn. Samtidig skal organisationerne være opmærksomme på, at de selv er forpligtede til at finde ud af, hvorvidt de er omfattet af NIS2 eller ej.

EU-direktivet NIS2, som nu skal implementeres i dansk lovgivning, er en videreførelse af NIS fra 2018, og det dækker en række nye sektorer. NIS2-direktiv skal imødekomme de behov, der er opstået som følge af den stadig stigende trussel for cyberkriminalitet. Og det gør op med uhensigtsmæssigheder i det oprindelige direktiv, hvor de enkelte medlemslande i nogen grad kunne definere, hvilke sektorer og organisationer der skulle være omfattet af NIS-direktivet.

Her er sektorerne

NIS2 stiller tekniske minimumskrav til statslige institutioner og til private virksomheder, men kun inden for bestemte sektorer. Med NIS2 er det it-, energi-, transport-, sundheds-, finans- og fødevaresektoren.

Flere rådgivningsvirksomheder har allerede kridtet skoene og er parate til at rådgive virksomheder om direktivets konsekvenser. Blandt dem er PwC. Og her forklarer Mads Nørgaard Madsen, partner og leder af Consulting – Technology & Security, i en meddelelse, at der ikke vil være nogen myndighed, der udpeger og varsler organisationerne.

”Fra starten af 2024 er virksomhederne og myndigheder forpligtet til at leve op til kravene, og derfor er det en fordel at komme i gang nu frem for at vente, da det tidligere har vist sig, at det har været en omfattende opgave for de organisationer, der var omfattet af NIS1. Hvis virksomhederne og myndighederne har en ledelsesforankret risikoproces i forvejen, er det en klar fordel. Hvis ikke, venter en omfattende proces forude,” skriver Mads Nørgaard Madsen.

22 procent højere omkostninger

Helt billigt bliver det ikke for de berørte virksomheder. Det anslås, at de virksomheder der er omfattet af NIS2-direktivet, vil få deres nuværende udgifter til sikkerhed forøget med 22 procent i de første år efter indførelsen af direktivet.

Virksomheder bør ikke tage NIS2 for let. For Mads Nørgaard Madsen påpeger, at hvis virksomheden ikke lever op til de skærpede krav, kan de potentielt se frem til bøder på samme måde som med GDPR.

6 skridt: Sådan kommer du godt i gang med NIS2

Hvordan kommer man bedst og billigst i gang med en NIS2-proces? Her er PwC’s anbefalinger.

1. Virksomheder skal få foretaget en modenhedsvurdering og sikre, at ledelsen bakker op. Vurderingen skal vise, hvilke investeringer og kompetencebehov virksomheden skal bruge for at få implementeringen til at lykkes.

2. Sørg for at ramme de driftskritiske aktiver. NIS2-direktivet skal beskytte kritisk infrastruktur, forsyningskæder til kritisk infrastruktur og andre samfundsvigtige funktioner.

3. Brug ”best practice”-værktøjer. NIS2-direktivet stiller krav til implementering af ledelsessystemer for informationssikkerhed. Derfor skal virksomheder bruge internationale standarder som styringsramme.

4. Beskriv risikoprocessen. Fordi NIS2-direktivet stiller krav til en risikobaseret tilgang til informationssikkerhed, skal risikoprocessen beskrives og efterleves. Samtidig skal der implementeres skadesforebyggende foranstaltninger, der formindsker risici.

5. Hurtig reaktion. NIS2 stiller krav til, at virksomheder skal rapportere hændelser til CSIRT inden for 24 timer. Samtidig skal de løbende opdatere CSIRT med status på hændelser og eventuelle kompromitteringer. Fordi NIS2 er en EU-standard, skal det vurderes om hændelsen kan have effekt på flere medlemsstater, og hvis det er tilfældet, vil den blive rapporteret videre til det europæiske cyberagentur, ENISA.

6. Start forfra. Modenheds- og risikoprocessen skal gentages med jævne mellemrum, så risici bliver identificeret og mitigeret.




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Fiftytwo A/S
Konsulentydelser og branchespecifikke softwareløsninger til retail, e-Commerce, leasing og mediebranchen.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Compliance og strategisk it-sikkerhed efter DORA

Finansielle koncerner har i snit 85 sikkerhedsløsninger i drift – men er i snit op til 100 dage om at opdage et igangværende cyberangreb. Ydermere viser øvelser, at det typisk tager 4-6 uger at rense og genetablere sikker drift af centrale systemer efter et stort angreb. Fokus for dagen vil derfor være på henholdsvis governance samt om, hvordan du som it-leder i den finansielle sektor skal kunne håndtere fremtidens cybertrusler og arbejde effektivt med sikkerhed på et strategisk niveau.

04. april 2024 | Læs mere


EA Excellence Day

Hvad er det, der gør it-arkitektens rolle så vigtig? Og hvad er det for udfordringer inden for områder som cloud, netværk og datacentre, som fylder hos nogle af landets bedste it-arkitekter lige nu? Det kan du her høre mere om og blive inspireret af på denne konference, hvor du også får lejlighed til at drøfte dette med ligesindede.

16. april 2024 | Læs mere


IAM - din genvej til højere sikkerhed uden uautoriseret adgang og datatab

På denne dag udforsker vi de nyeste strategier, værktøjer og bedste praksis inden for IAM, med det formål at styrke virksomheders sikkerhedsposition og effektiviteten af deres adgangsstyringssystemer og dermed minimere risikoen for uautoriseret adgang og datatab. Og hvordan man kommer fra at overbevise ledelsen til rent faktisk at implementere IAM?

18. april 2024 | Læs mere