NIS2-direktivet
Direktiv om sikkerhed i netværks- og informationssystemer
Oversigt
NIS2 erstatter og udvider betydeligt det oprindelige NIS-direktiv og etablerer et højt fælles niveau for cybersikkerhed i hele EU. Det gælder for en langt bredere vifte af sektorer og enheder, indfører strengere tilsynsforanstaltninger og harmoniserer sanktioner på tværs af medlemsstater.[1]
Som et direktiv krævede NIS2 implementering i national lovgivning senest den 17. oktober 2024. Implementeringen varierer mellem medlemsstaterne.
Anvendelsesområde: Væsentlige vs. vigtige enheder
Væsentlige enheder (højere tilsyn)[2]
| Sektor | Eksempler |
|---|---|
| Energi | Elektricitet, olie, gas, brint, fjernvarme |
| Transport | Luft, jernbane, vand, vej |
| Bankvæsen | Kreditinstitutter |
| Finansielle markeder | Handelspladser, centrale modparter |
| Sundhed | Sundhedsudbydere, laboratorier, pharma, medicinsk udstyr |
| Drikkevand | Vandforsyninger |
| Spildevand | Spildevandsbehandling |
| Digital infrastruktur | IXP'er, DNS, TLD-registre, cloud, datacentre, CDN'er, TSP'er |
| ICT-tjenestestyring | Managed service providers, managed security service providers |
| Offentlig administration | Centralregeringens enheder |
| Rumfart | Operatører af jordbaseret infrastruktur |
Vigtige enheder (mindre tilsyn)
| Sektor | Eksempler |
|---|---|
| Posttjenester | Post- og kurerfirmaer |
| Affaldshåndtering | Affaldsindsamling og -behandling |
| Kemikalier | Fremstilling og distribution |
| Fødevarer | Produktion og distribution |
| Fremstilling | Medicinsk udstyr, elektronik, maskiner, køretøjer |
| Digitale udbydere | Online markedspladser, søgemaskiner, sociale netværk |
| Forskning | Forskningsorganisationer |
Størrelsesgrænser
NIS2 gælder generelt for mellemstore og store enheder:
- Mellemstor: 50+ ansatte ELLER €10 mio.+ omsætning/balance
- Stor: 250+ ansatte ELLER €50 mio.+ omsætning ELLER €43 mio.+ balance
Nogle enheder gælder uanset størrelse (DNS, TLD-registre, cloud-udbydere, datacentre osv.).
Vigtige krav
Risikostyringsforanstaltninger (artikel 21)[3]
Enheder skal implementere passende tekniske, operationelle og organisatoriske foranstaltninger:
- Politikker: Risikoanalyse og informationssikkerhedspolitikker
- Håndtering af hændelser: Detektions-, respons- og genopretningsprocedurer
- Forretningskontinuitet: Backup, katastrofegenopretning, krisestyring
- Forsyningskædesikkerhed: Sikkerhedskrav til leverandører
- Netsikkerhed: Sikkerhed ved anskaffelse, udvikling og vedligeholdelse
- Effektvurdering: Politikker til evaluering af sikkerhedsforanstaltningers effektivitet
- Grundlæggende cyberhygiejne: Uddannelses- og bevidstgørelsesprogrammer
- Kryptografi: Politikker om kryptografiske kontroller og kryptering
- Personale: Personalesikkerhed og adgangskontrol
- Multi-faktor autentificering: MFA og sikre kommunikationssystemer
Hændelsesrapportering (artikel 23)[4]
| Tidslinje | Krav |
|---|---|
| 24 timer | Tidlig varsling til CSIRT/kompetent myndighed |
| 72 timer | Hændelsesmeddelelse med indledende vurdering |
| 1 måned | Endelig rapport med årsag og afhjælpning |
Betydelige hændelser skal rapporteres, hvis de forårsager eller kan forårsage alvorlige driftsforstyrrelser eller økonomiske tab, eller påvirker andre fysiske eller juridiske personer.
Ledelsens ansvar
Ledelsesorganer skal:
- Godkende cybersikkerhedsriskostyringsforanstaltninger
- Overvåge implementeringen af sikkerhedsforanstaltninger
- Være personligt ansvarlige for manglende overholdelse
- Gennemgå cybersikkerhedsuddannelse
Sanktioner
- Væsentlige enheder: Op til €10 millioner eller 2 % af global omsætning
- Vigtige enheder: Op til €7 millioner eller 1,4 % af global omsætning[5]
Medlemsstater kan pålægge yderligere sanktioner, herunder midlertidige ledelsesforbud.
Udvikler- og ICT-tjenesteudbyderes forpligtelser
Hvis du leverer ICT-tjenester eller produkter:
- Managed Service Providers: Direkte omfattet som væsentlige enheder
- Cloud-udbydere: Direkte omfattet som væsentlige enheder
- Softwareudviklere: Forpligtelser i forsyningskæden fra kundeenheder
- Sikkerhedsleverandører: Kan udpeges som vigtige enheder