Hovedelementer i det første NIS-direktiv
NIS-direktivet er en politisk aftale, som blev indført i Danmark i 2018, og som har til formål at sikre samarbejde og informationsudveksling samt internationale standarder i EU omkring sikkerhedshændelser. Derudover indeholder det en række, ved indførelsen, nye regler og krav til cybersikkerhed, herunder værktøjer og procedurer, som organisationer i hele unionen skal følge.
NIS blev bl.a. indført grundet de øgede trusler og problematikker ved den teknologiske udvikling og den stigende offentlige digitalisering på globalt plan.
Det oprindelige NIS-direktiv indeholder juridiske foranstaltninger til at øge det overordnede niveau af cybersikkerhed i EU for at bidrage til det indre markeds overordnede funktion. Den er baseret på 3 hovedsøjler:
-
For at opnå et højt beredskab i medlemsstaterne kræver NIS-direktivet, at medlemsstaterne vedtager en national strategi for netværks- og informationssystemers sikkerhed. Medlemsstaterne er også forpligtet til at udpege nationale Computer Security Incident Response Teams (CSIRT'er), som er ansvarlige for risiko- og hændelseshåndtering, en kompetent national NIS-myndighed og et enkelt kontaktpunkt (SPOC).
SPOC skal fungere som en forbindelsesfunktion for at sikre samarbejdet mellem medlemsstaternes myndigheder, de relevante myndigheder i andre medlemsstater og NIS-samarbejdsgruppen på tværs af landegrænser.
-
NIS-direktivet etablerer NIS-samarbejdsgruppen for at støtte og lette strategisk samarbejde og udveksling af oplysninger mellem medlemsstaterne og CSIRT-netværket, som fremmer hurtigt og effektivt operationelt samarbejde mellem nationale CSIRT'er.
-
NIS-direktivet sikrer, at cybersikkerhedsforanstaltninger træffes på tværs af en række sektorer. Disse sektorer er afgørende for vores økonomi og samfund, og er stærkt afhængige af informations- og kommunikationsteknologi, såsom energi, transport, bankvæsen, finansmarkedsinfrastruktur, drikkevand, sundhedspleje og digital infrastruktur.
Offentlige og private enheder, som medlemsstaterne identificerer som udbydere af essentielle tjenester i disse sektorer, skal foretage en risikovurdering af deres cybersikkerhed og indføre passende og forholdsmæssige sikkerhedsforanstaltninger. De er forpligtet til at anmelde alvorlige hændelser til de relevante myndigheder.
Udbydere af vigtige digitale tjenester (digitale tjenesteudbydere eller DSP'er), såsom søgemaskiner, cloud computing-tjenester og online markedspladser, skal overholde sikkerheds- og underretningskravene i direktivet. Sidstnævnte er samtidig underlagt en såkaldt 'light-touch' reguleringsordning. Det indebærer blandt andet, at de er under én medlemsstats jurisdiktion for hele EU og ikke er underlagt forudgående tilsynsforanstaltninger.
Hovedelementer i det nye NIS2-direktiv
Det nye forslag fra EU-kommissionen har til formål at afhjælpe manglerne i det tidligere NIS-direktiv, at tilpasse det til de nuværende cybersikkerhedsbehov og fremtidssikre det.
Til dette formål udvider EU-kommissionens forslag anvendelsesområdet for det nuværende NIS-direktiv ved at tilføje nye sektorer baseret på, hvor afgørende de er for økonomien og samfundet, og ved at indføre et klart størrelsesloft — hvilket betyder, at alle mellemstore og store virksomheder i udvalgte sektorer vil indgå i omfanget. Samtidig giver det en vis fleksibilitet for medlemsstaterne til at identificere mindre enheder med en høj sikkerhedsrisikoprofil.
Endvidere foreslår EU-kommissionen at tage fat på sikkerheden i forsyningskæder og leverandørforhold ved at kræve, at individuelle virksomheder håndterer cybersikkerhedsrisici i netop forsyningskæder og leverandørforhold. På europæisk plan styrker forslaget forsyningskædens cybersikkerhed, når det gælder vigtige informations- og kommunikationsteknologier.
Medlemsstaterne kan i samarbejde med EU-kommissionen og ENISA (The European Union Agency for Cybersecurity) udføre koordinerede risikovurderinger af kritiske forsyningskæder, der bygger på den tilgang, der er taget i forbindelse med EU-kommissionens henstilling om cybersikkerhed i 5G-netværk.
Forslaget indfører strengere tilsynsforanstaltninger for nationale myndigheder, strengere håndhævelseskrav og sigter mod at harmonisere sanktionsordninger på tværs af medlemsstaterne.
Forslaget styrker også samarbejdsgruppens rolle i udformningen af strategiske politiske beslutninger og øger informationsdelingen og samarbejdet mellem medlemsstaternes myndigheder. Det styrker også det operationelle samarbejde, herunder om cyberkrisestyring.
EU-kommissionens forslag etablerer også en grundlæggende ramme med ansvarlige nøgleaktører om koordineret formidling af nyopdagede sårbarheder i hele EU og opretter et EU-register på dette område, som drives af EU-agenturet for cybersikkerhed (ENISA).
Forslaget fjerner også sondringen mellem udbydere af essentielle tjenester og udbydere af digitale tjenester. Enheder vil blive klassificeret baseret på deres betydning og opdelt i essentielle (undertiden også kaldet for væsentlige) og vigtige kategorier, som vil blive underlagt forskellige tilsynsordninger.
Forslaget styrker og strømliner sikkerheds- og rapporteringskrav for virksomheder ved at indføre en risikostyringstilgang, som giver en minimumsliste over grundlæggende sikkerhedselementer, der skal anvendes. Forslaget indfører mere præcise bestemmelser om processen for indberetning af hændelser samt indholdet af rapporterne og ikke mindst tidsplaner.
Overgangen fra NIS til NIS2-direktivet
Det viste sig imidlertid, at NIS-direktivet ikke fungerede i praksis, da der var stor forskel på, hvor meget de forskellige medlemslande tog imod og fulgte direktivet. Der var også mange uklarheder i forhold til bødestraffe, hvis organisationer ikke overholdt kravene i NIS-direktivet. Derudover var det op til de enkelte medlemslande at finde ud af, hvilke virksomheder og sektorer, der var omfattet af NIS-direktivet, hvilket førte til mange uregelmæssigheder.
EU’s medlemslande har derfor nu vedtaget den nye version af NIS kaldet NIS2, som blev endeligt vedtaget i december 2022. Alle medlemsstater skal nu sikre en implementering af det nye direktiv inden for 21 måneder, så de kan efterleve kravene og skabe et fælles sikkerhedsniveau.
Hvorfor indfører EU det nye NIS2-direktiv?
Eftersom NIS ikke fungerede optimalt, vil den nye version, NIS2, øge kravene til efterlevelse af reglerne i direktivet. Derudover vil den ensarte de nationale bekendtgørelser, procedurer og ordninger for at sikre en effektiv deltagelse i håndteringen af væsentlige sikkerhedshændelser og kriser på EU-plan. Denne deltagelse fungerer på tværs af medlemslandene.
NIS2 udvider også dækningsområdet for direktivet markant, så flere sektorer og danske virksomheder også er omfattet af direktivet. Det gælder både offentlig administration, offentlige organisationer og private virksomheder.
Den stigende cybertrussel og den evige udvikling i den digitale infrastruktur er også motivationsfaktorer bag NIS2.
Hvilke lovkrav stiller NIS2 til din organisation?
NIS2 fungerer som en lov, og derfor skal din organisation efterleve de nye lovkrav, der bliver stillet.
Overordnet stiller NIS2 to nye krav:- Krav om rapportering af sikkerhedshændelser og relevante events til de relevante myndigheder.
- Krav om indførelse af tekniske og organisatoriske sikkerhedsforanstaltninger for at nedsætte risikoen for brud på netværk- og IT-systemer.
Det er skærpede krav i forhold til det oprindelige NIS-direktiv.
Rapportering af hændelser
Det er skærpede krav i forhold til det oprindelige NIS-direktiv. Din organisation skal have skabt procedurer for, hvordan I sørger for, at I får rapporteret sikkerhedshændelser til de relevante myndigheder.
Det bliver et krav, at større sikkerhedshændelser skal rapporteres inden for 24 timer. Derudover skal I have udarbejdet en rapport inden for en måned.
Tekniske og organisatoriske foranstaltninger
NIS2 stiller øgede krav til den interne cybersikkerhed, bl.a. i forhold til risikostyring. Det er vigtigt, at din organisation laver risikoanalyser, som fungerer forebyggende på sikkerhedsskader. I skal sørge for at have sikkerhedsforanstaltninger, der nedsætter konsekvenserne og risiciene ved sikkerhedshændelser.
Som en del af reduktionen af konsekvenser ved cyberhændelser, skal din organisation også have en plan for, hvordan I vil skabe en forretningskontinuitet, hvis I bliver ramt af et cyberangreb eller lignende. Det inkluderer en plan over en implementering af et kriseteam, nødprocedurer og genopretning af de ramte systemer.
Det er desuden vigtigt, at din organisation sørger for en effektiv formidling af viden om risici og sårbarheder, så organisationer i de omfattede sektorer i fællesskab kan styrke cybersikkerheden.
Europa-Parlamentet har udarbejdet en række kategorier af sikkerhedstiltag, som organisationer skal implementere. Nogle af kravene er nævnt ovenfor, men som minimum skal følgende tiltag indføres:
- Risikoanalyser og sikkerhedspolitik for informationssystemer.
- Krisehåndtering.
- Hændelseshåndtering – både præventivt, opdagelse og håndtering.
- Værdikædesikkerhed for leverandører af både hardware og services – herunder datalagring, processorservices og sikkerhedsservices.
- Regler for adgangskontrol.
- Sikkerhed i forbindelse med anskaffelse, udvikling og vedligeholdelse af netværk og informationssystemer, sårbarhedshåndtering og offentliggørelse.
- Policy og procedure for at vurdere effektiviteten af sikkerhedstiltag.
- Brug af kryptografi og kryptering.
Hvilke danske organisationer er omfattet af NIS2-direktivet?
NIS2 indfører som tidligere nævnt en ny skelnen mellem essentielle og vigtige enheder, og hvis din organisation hører ind under én af dem, er din organisation omfattet af NIS2-direktivet.
Dækningsområdet for sektorer udvides, da alle virksomheder, der udfører eller varetager vigtige funktioner i samfundet, skal være omfattet af direktivet. Det er både store og mellemstore virksomheder.
Mikrovirksomheder og små virksomheder er dog undtaget. En lille virksomhed har færre end 50 medarbejdere og dens globale omsætning er mindre end 10 million euro om året.
Hvis din organisation arbejder i en offentlig forvaltning eller inden for en bred vifte af sektorer herunder energi, IT, transport, sundhed, finans, rum, spildevand, forsyningskæden, fødevareproduktion eller affaldshåndtering, så er den omfattet af NIS2.
Udover de nævnte områder omfattes også digitale tjenesteudbydere og digital infrastruktur, herunder cloud computing-services, online markedspladser og søgemaskiner.
Udvidelse af anvendelsesområde – offentlig administration
Mens medlemsstaterne i henhold til det gamle NIS-direktiv var ansvarlige for at bestemme, hvilke enheder der ville opfylde kriterierne for at kvalificere sig som udbydere af essentielle tjenester, indfører det nye NIS2-direktiv en size-cap-regel. Det betyder, at alle mellemstore og store virksomheder, der opererer inden for de sektorer eller leverer tjenesteydelser omfattet af direktivet, vil falde ind under direktivets anvendelsesområde.
Mens aftalen opretholder denne generelle regel, indeholder den vedtagne tekst i NIS2 yderligere bestemmelser for at sikre proportionalitet, et højere niveau af risikostyring og klare kritiske kriterier til at bestemme, hvilke enheder der er omfattet.
Teksten præciserer også, at direktivet ikke vil finde anvendelse på enheder, der udfører aktiviteter inden for områder som forsvar eller national sikkerhed, offentlig sikkerhed, retshåndhævelse og retsvæsen. Parlamenter og centralbanker er også undtaget fra anvendelsesområdet.
Da offentlige forvaltninger også ofte er mål for cyberangreb, vil NIS2 gælde for offentlige forvaltningsenheder på centralt og regionalt niveau. Derudover kan medlemslandene beslutte, at det også gælder for sådanne enheder på lokalt plan.
Det er endnu uvist, om kommuner kommer til at være omfattet af NIS2, eftersom NIS2-direktivet beskriver, at det er medlemsstaterne, der skal beslutte, om ”lokale” myndigheder er omfattet af NIS2, mens regionale og centrale myndigheder er direkte omfattet af NIS2.
Selvom det ikke er afklaret, om kommuner i Danmark skal følge NIS2, kan kommunerne med fordel være opmærksomme på reglerne, og hvordan de kommer til at blive implementeret i Danmark. Kommunerne kan blive omfattet af NIS2-direktivet gennem de opgaver, som varetages af kommunen eller kommunale selskaber, heriblandt sundhedspleje, fjernvarmeforsyning, affaldshåndtering, spildevandshåndtering og drikkevandsforsyning.
Hvordan fører myndigheder tilsyn med din organisation?
NIS2 har også indført flere pligter til myndighederne omkring tilsyn af virksomheder.
De relevante myndigheder skal føre aktivt tilsyn med din organisation. Tilsynet skal være risikobaseret, og det kan ske gennem tilsyn on-site, gennem revisioner, rapportering, peer reviews og sikkerhedsscanninger.
Myndigheden kan anmode om oplysninger og data fra jeres systemer for at vurdere, om I har de passende sikkerhedsforanstaltninger til at beskytte jeres data.
Hvis myndigheden ikke mener, at din organisation efterlever kravene fra NIS2-direktivet ordentligt, så kan de udstede et påbud til din organisation om, at I skal indføre tiltag for at rette op på den manglende sikkerhed.
De kan også pålægge din organisation at offentliggøre dele af den manglende sikkerhed eller manglende efterlevelse af kravene. Det kan betyde, at organisationen skal offentliggøre navnene på de personer, der er ansvarlige.
Hvis myndigheden mener, at den manglede efterlevelse af kravene er meget alvorlig, eller hvis jeres organisation ikke retter op på fejlene, så kan de udstede bøder, der svarer til GDPR bødestørrelser.
Sådan får du størst succes i forberedelserne til NIS2
Det er en fordel for mange myndigheder og virksomheder at begynde at overveje, om de kan forvente at blive omfattet af NIS2.
Når I med en god vished har afklaret, om jeres organisation er omfattet af NIS2-lovkravene, vil I have overblik over de arbejdsopgaver, der eventuelt ligger foran jer i forhold til at leve op til bestemmelserne i NIS2-direktivet. Det vil gøre jer bedre forberedt på selve implementeringsarbejdet, når direktivet faktisk træder i kraft.
Hvis din organisation ikke allerede udfører risikoanalyser af jeres cyber- og informationssikkerhed, så skal der ske en implementering af det. I skal også gennemgå al jeres compliance-dokumentation og få et teknisk og fagligt overblik.
Det er vigtigt, at din organisation laver en beredskabsplan, så I er klar til at håndtere potentielle sikkerhedshændelser. Du skal kende din organisations kapacitet og evner inden for beredskab og derefter afstemme jeres forventninger til reetablering af forretningen eller driften efter en hændelse.
I skal lave en operationel plan over jeres krisestyring og skabe et team af IT-professionelle, tekniske specialister eller lignende, der står for udførelsen. Det er også vigtigt at etablere forudsætningerne for, at I kan blive ved med at drive forretning i en eller anden grad under en hændelse.
Planen skal være overskuelig og nem at følge. Det er en god idé at opdele planen i principper og punkter, så de personer, som skal følge planen, hurtigt kan sætte sig ind i den og udøve teknisk hjælp.
Det er også en god idé at træne hele din organisation i beredskab og IT-sikkerhed, så alle dele af organisationen er dækket ind. Dog er det ledelsen, der skal være bekendt med kravene i direktivet og risikostyringsindsatsen. De har det direkte ansvar for, at cyberrisici bliver identificeret og bekæmpet samtidigt med, at de resterende nye krav overholdes.
Opbygningen af NIS2 på tværs af en digital infrastruktur
NIS2 indeholder flere niveauer, som alle reguleres. Først og fremmest er det et EU-samarbejde om cybersikkerhedshændelser, der sker på tværs af nationale grænser.
Derudover er der det nationale niveau, hvor der skal være en national strategi og krisestyring, der implementeres på tværs af de forskellige sektorer i et land.
Der er også de kompetente myndigheder. I en dansk sammenhæng er de kompetente myndigheder de ansvarlige ministerier, som har et ansvar for et bestemt område, f.eks. Klimaministeriet, Energiministeriet osv.
Endeligt er der udbydere af essentielle og vigtige tjenester. En udbyder er en leverandør af vigtige tjenester eller ydelser for samfundet, f.eks. digitale udbydere. Det er disse udbydere, som svarer til organisationer i de omfattede samfundskritiske sektorer.
Kilder: