NIS2 (EU-direktiv 2022/2555) er EU’s ramme for at løfte cybersikkerheden på tværs af medlemslandene. Det stiller krav til, hvordan organisationer beskytter deres netværks- og informationssystemer – med fokus på fortrolighed, integritet, tilgængelighed og genopretning. NIS2 afløser det oprindelige NIS-direktiv fra 2016 og udvider både omfang og krav.
NIS2 gælder for to kategorier af organisationer:
Væsentlige (essential) enheder – fx energi, transport, sundhed, drikkevand/spildevand, finans, digital infrastruktur m.fl.
Vigtige (important) enheder – fx post/kurer, affald, fødevareproduktion, fremstilling af kritiske produkter, udbydere af visse digitale tjenester m.fl.
Omfanget afhænger bl.a. af branche/sektor, størrelse (typisk middelstor og derover) og kritikalitet.
Kort fortalt: styr på risici, styring og bevis. Det indebærer bl.a.:
Risikostyring & kontroller: passende tekniske og organisatoriske foranstaltninger (adgangsstyring, patching, backup/gendannelse, logging/monitorering, kryptografi, leverandørstyring, beredskab).
Ledelsesansvar: topledelsen har formelt ansvar for cybersikkerheden, inkl. godkendelse af politikker og tilsyn med implementering.
Hændelsesrapportering: pligt til hurtig underretning via nationale kontaktpunkter (tidlige varsler/“early warning”, efterfulgt af status og slutrapport).
Leverandør-/kæderisici: krav om at vurdere og styre tredjeparts- og cloud-risici.
Tilsyn og sanktioner: myndigheder kan føre tilsyn; manglende efterlevelse kan udløse påbud og betydelige bøder.
Vi gør NIS2 operationelt – fra gap-analyse og roadmap til implementering, øvelser og rapportering:
Kortlægning af omfang og kategori (essential/important) samt relevante nationale krav.
Etablering af styringsmodel, politikker og kontroller (mappet til NIS2).
Incident Response-setup og rapporteringsflows, inkl. øvelser.
Leverandør- og kæderisikoprogram.
Ledelsesrapportering, KPI’er og audit-forberedelse.