NIS2: Risici og muligheder for virksomheder

forfattere

Fabio Borri

Der blev ikke fundet nogen resultater.

Udgivet den:

30. juli 2025

Indhold

Del denne artikel

Indledning og lovgivningsmæssige henvisninger

NIS er en forkortelse for »netværks- og informationssikkerhed«.

Med dette akronym ønskede Det Europæiske Fællesskab at betegne den lovgivningsmæssige indsats for at fastlægge en standardiseret tilgang til cybersikkerhed i alle EU-medlemsstater.

I 2018 blev den første europæiske forordning, NIS1 (EU-direktiv 2016/1148), vedtaget; den blev gennemført på nationalt plan ved lovdekret nr. 65 af 18. maj 2018.

NIS-dekretet indeholdt også bestemmelser om vedtagelse af en »national cybersikkerhedsstrategi« gennem oprettelsen af det italienske CSIRT (Computer Security Incident Response Team), som har til opgave at varetage tekniske opgaver i forbindelse med forebyggelse, håndtering og overvågning af cyberhændelser i samarbejde med europæiske CSIRT'er.

NIS1 blev efterfølgende afløst af NIS2 (EU-direktiv 2022/2555), som blev gennemført på nationalt plan ved lovdekret nr. 138 af 4. september 2024.

NIS 2 har til formål at overvinde begrænsningerne i NIS 1, som gav medlemsstaterne for stor handlefrihed i forbindelse med gennemførelsen, hvilket medførte, at harmoniseringsmålet ikke blev nået, og som desuden udelukkede visse kategorier af enheder, der burde have været omfattet af reguleringen på grund af deres betydning for det europæiske marked.

Desuden blev NIS2 indført som reaktion på den stigende digitalisering, der har fundet sted i alle medlemsstater og er blevet fremskyndet af pandemien; dette har udvidet angrebsfladen for cyberangreb uden en tilsvarende styrkelse af sikkerhedssystemerne.

Endelig er et andet mål med NIS2 at forpligte operatører af kritiske og vigtige tjenester samt udbydere af digitale tjenester til at indføre passende sikkerhedsforanstaltninger og straks indberette hændelser til de kompetente myndigheder og brugerne af deres tjenester.

Det nye direktiv er blevet tilpasset andre specifikke europæiske sektorbestemmelser, herunder:

- direktivet om digital driftssikkerhed i den finansielle sektor (DORA). Dette er den forordning, der blev vedtaget den 10. november 2022 med det formål at styrke sikkerhedsforanstaltningerne til fordel for den finansielle sektors driftssikkerhed og cybersikkerhed gennem indførelsen af en række obligatoriske sikkerhedsforanstaltninger, der sikrer informationers integritet og tjenesters cybersikkerhed;

- direktivet om kritiske infrastrukturers modstandsdygtighed (CER), der har til formål at sikre juridisk klarhed og sammenhæng mellem de forskellige direktiver.

De pågældende virksomheder er blevet inddelt i:

Vigtige sektorer (energi, transport, sundhed, vandforsyning, offentlig forvaltning, finans, rumfart, digital infrastruktur)
Vigtige sektorer (forskning; kemikalier; fødevarer; industriproduktion; digitale tjenesteudbydere; posttjenester; affald)
Offentlige organer: Centraladministrationen (forfatningsmæssige og forfatningsrelevante organer; statsministerens kontor og ministerier; skattemyndigheder; Uafhængig myndigheder) | Regional administration (regioner og autonome provinser) | Lokal administration (storbyer; kommuner med > 100.000 indbyggere; regionshovedstæder; lokale sundhedsmyndigheder) | Andre offentlige enheder (økonomiske reguleringsorganer; udbydere af økonomiske tjenesteydelser; foreninger; udbydere af velfærds-, fritids- og kulturtjenester; forskningsorganer og -institutioner; eksperimentelle zooprofylaktiske institutter) | Andre typer enheder (enheder, der leverer lokale offentlige transporttjenester; uddannelsesinstitutioner, der udfører forskningsaktiviteter; enheder, der udfører aktiviteter af kulturel interesse; interne virksomheder; porteføljeselskaber og offentligt kontrollerede selskaber)
Leverandører: Virksomheder, der leverer kritiske tjenester til enheder, der er omfattet af NIS2, skal styrke deres digitale sikkerhed, selvom de udtrykkeligt er omfattet af den obligatoriske Brancher.

Indholdet af NIS2

De generelle forpligtelser, der følger af indholdet i NIS2, kan sammenfattes ud fra fire hovedpunkter:

Ledelse: Ledelsen skal godkende de risikostyringsforanstaltninger, som organisationen har vedtaget, og løbende vurdere deres effektivitet: deltage i regelmæssig uddannelse i cybersikkerhed og tilbyde medarbejderne tilsvarende uddannelse.

Risikostyring: Organisationen skal vurdere sikkerheds- og netværksrisici og træffe passende og rimelige tekniske, driftsmæssige og organisatoriske foranstaltninger for at forhindre eller minimere konsekvenserne af hændelser for modtagerne af dens tjenester.

Forretningskontinuitet: Organisationen skal indføre løsninger, der sikrer forretningskontinuitet (f.eks. sikkerhedskopier, beredskabsplan og krisehåndteringsprocedure), med det formål at minimere konsekvenserne af eventuelle afbrydelser i de leverede tjenester.

Forsyningskæde: Virksomheden skal vurdere sårbarhederne hos hver enkelt direkte leverandør samt den samlede kvalitet af leverandørernes produkter og deres praksis inden for cybersikkerhed. Vurderingen skal omfatte it-leverandører og andre kritiske leverandører, der kan forårsage afbrydelser i den tjeneste, som organisationen er blevet medtaget i NIS2-området for.

Virksomhederne vil derfor blive pålagt at kunne måle og rapportere om:

Risikoanalyse og sikkerhedspolitikker for informationssystemer
Procedurer for håndtering af hændelser
Løsninger til forretningskontinuitet (backup og genopretning efter nedbrud) samt procedurer for krisestyring og kommunikation
Sikkerhedspolitikker for forsyningskæden (leverandører og tjenesteudbydere)
Sikkerhed i forbindelse med anskaffelse, udvikling, vedligeholdelse og forvaltning af sårbarheder i informationssystemer og netværk

NIS2-tidsplan

Virksomheder og offentlige myndigheder skal foretage en vurdering for at afklare, om de er omfattet af forpligtelserne i NIS2-direktivet.

Fra 1. december 2024 til 28. februar 2025 skal virksomhederne have godkendt sig selv på ACN-portalen (det nationale cybersikkerhedsagentur) ved hjælp af deres SPID-loginoplysninger. I denne periode skal brugere, der er udpeget som /Registreringsservice.

Virksomhederne skal navnlig:

Angiv, om virksomheden indgår i en koncern, og oplys moderselskabets skatteregistreringsnummer, hvis det er relevant.
Angiv de tilknyttede virksomheder og deres skatteregistreringsnumre.
Angiv de ATECO-koder, der beskriver enhedens virksomhed.
Angiv de relevante EU-sektorbestemmelser.
Angiv omsætning, balanceoplysninger og antal ansatte for at fastlægge virksomhedens kategori.
Angiv de typer af enheder, som virksomheden tilhører.

Senest den 17. januar 2025 skal operatører af topdomæneregistre, udbydere af DNS-tjenester og domæneregistreringstjenester, udbydere af cloud-computing, datacentre, udbydere af indholdsleveringsnetværk, udbydere af administrerede tjenester, udbydere af administrerede sikkerhedstjenester samt udbydere af online markedspladser, online søgemaskiner og platforme til sociale netværk have registreret sig på platformen.

Senest den 31. marts 2025 udarbejdede ACN en liste over væsentlige og vigtige enheder på baggrund af de registreringer, der var modtaget via platformen.

Mellem den 1. april 2025 og den 15. april 2025 underrettede ACN de berørte enheder om, hvorvidt de var blevet opført på listen over væsentlige eller vigtige enheder.

Senest den 15. april 2025 skulle de enheder, der modtog meddelelsen, ved en særskilt retsakt udpege en enhed, der skulle varetage opfyldelsen af forordningens forpligtelser.

Herefter skal de enheder, der er omfattet af direktivet, overholde yderligere krav:

senest den 1. januar 2026; pligt til at indberette hændelser
senest den 1. oktober 2026; forpligtelserne vedrørende administrative organer og sikkerhedsforanstaltninger skal være opfyldt

Hvert år vil ACN opdatere listen over de berørte enheder. Virksomheder og offentlige myndigheder vil hvert år i januar og februar have mulighed for at tilmelde sig, hvis de anser sig for at være blandt de berørte enheder.

Risici for virksomhederne, men også muligheder

Efter NIS2’s ikrafttræden og identificeringen af de berørte operatører kan de kompetente myndigheder gennemføre overvågning og stikprøvekontroller for at kontrollere, om direktivet overholdes. I tilfælde af manglende overholdelse vil der blive pålagt sanktioner over for de berørte virksomheder.

Straffene er meget strenge: for store virksomheder op til 10 millioner euro eller 2 % af den globale omsætning; for mellemstore virksomheder op til 7 millioner euro eller 1,4 % af den globale omsætning.

Selvom overholdelse af reglerne kræver en betydelig indsats og investering fra virksomhedernes side, må man også erkende, at reglerne i sig selv har til formål at udgøre en væsentlig løsning på problemet med cyberangreb, som italienske virksomheder stadig er meget sårbare over for, og som de ofte har en tendens til at skjule af imagehensyn. Økonomisk set anslås den gennemsnitlige skade pr. enkelt cyberangreb til mere end 2 millioner euro, uanset virksomhedens omsætning.

Hvordan ERA kan hjælpe med at sikre overholdelse af NIS2

På trods af alt det ovenstående – som kunne tyde på, at virksomhederne er meget interesserede i og engagerede i cybersikkerhedsspørgsmål – er det ikke ualmindeligt, især blandt små og mellemstore virksomheder, at man støder på virksomheder, der har gjort meget lidt eller slet intet Om os og i øjeblikket ikke er i stand til at vurdere deres situation med hensyn til de risici, de er udsat for, hverken ud fra et teknisk synspunkt eller hvad angår overholdelse af de forskellige gældende regler.

Nogle virksomheder løser problemet med cybersikkerhed gennem forsikringsdækning. Forsikringsselskaber er dog ofte tilbageholdende med at tilbyde denne form for beskyttelse til virksomheder, der aldrig har iværksat konkrete tiltag på cyberområdet. Det skyldes, at der ikke findes nogen pålidelig metode til præcist at vurdere skaderne forårsaget af et cyberangreb. Som følge heraf fokuserer 'NIS2-pakker' på tjenester til vurdering af cyberrisici, men overlader det til virksomhederne selv at træffe de nødvendige foranstaltninger for at afhjælpe eventuelle mangler. ERA kan tilbyde en mere omfattende service ved at trække på et netværk af højt kvalificerede leverandører på meget konkurrencedygtige vilkår.

Nærmere bestemt består ERA's støtte af:

En vurdering af virksomhedens organisatoriske og tekniske struktur ved hjælp af selvvurderingsspørgeskemaer baseret på foruddefinerede indikatorer;
Oplysnings- og uddannelseskurser, herunder grundkurser for alle medarbejdere og videregående moduler for ledere på mellem- og toplederniveau, i overensstemmelse med NIS2-retningslinjerne;
Specifikke og højt kvalificerede tests inden for sårbarhedsanalyse, håndtering af phishing og risikovurdering af ransomware;
Støtte fra dedikerede konsulenter i saneringsfasen efter vurderingen;
Specialiseret rådgivning fra dedikerede konsulenter, der kan vejlede i strategiske beslutninger inden for cybersikkerhed.

Vores løsning omfatter en analyse af overholdelsen af NIS2-reglerne, hvilket uden tvivl er det mest presserende anliggende, men vi kan også bistå kunden med projektledelsen i afhjælpningsfasen, dvs. den fase, hvor kunden skal afhjælpe de forskellige »mangler«, der er blevet identificeret i diagnosticeringsprocessen, og som er den fase, hvor visse virksomheders udfordringer kommer tydeligst til udtryk, både hvad angår interne kompetencer og tilgængeligheden af tid og ressourcer.