Nis2: ny lovgivning skærper kravene til it-sikkerhed

Virksomheder inden for visse sektorer samt visse offentlige myndigheder vil fremover blive underlagt strammere regler på it-sikkerhedsområdet. 

EU-Parlamentet godkendte i maj 2022 et direktiv - NIS2 - der skal sikre, at medlemslandene i februar 2024 har implementeret ny lovgivning. NIS2 har til formål at højne informations- og cybersikkerhedsniveauet i virksomheder inden for bl.a. energi, forsyning, sundhed, finans og it. Virksomhederne i disse sektorer skal bl.a. have implementeret et basalt it-sikkerhedsniveau. 

NIS2 er – som navnet indikerer – version 2 af NIS: Net- og informationssikkerhed. Der er tale om en udvidelse i forhold til både brancher og sektorer. Det væsentlige er, at sikkerhedsniveauet skal kunne dokumenteres, og væsentligt er det også, at der er tale om krav, der omfatter hele forsyningskæden således, at også underleverandører og samarbejdspartnere er omfattet. Leverer en virksomhed til en NIS2-compliant virksomhed, vil det dermed ikke være utænkeligt, at leverandøren tillige skal være dokumenteret NIS2-compliant. 

Lovgivningen vil kræve, at virksomheden håndterer it-sikkerhedsforhold, der på mange måder relaterer sig til ISO 27002-kontroller. Dem er der flere, der i forvejen kender, hvis virksomheden har en ISAE 3402- eller 3000-erklæring. Eksempelvis skal virksomheden tage stilling til samt implementere foranstaltninger inden for områderne: risikostyring, sikkerhedspolitik, hændelsesstyring, leverandørstyring, kryptografi, HR og beredskab. Altså forhold vi kender fra ISO 27002, men reelt også fra GDPR. 

Det er afgørende, at virksomheder, der direkte eller indirekte relaterer sig til de brancher, der forventeligt omfattes af reglerne, forbereder sig på den kommende lovgivning. Før vi ser regler, vejledninger og beskrivelser fra Folketinget og diverse offentlige myndigheder, bør virksomheder forberede sig ved at arbejde med ISO-standarden. 

Modsat GDPR må vi forvente, at de organisationer, der vil være underlagt NIS2, skal søge godkendelse og er underlagt Erhvervsstyrelsens tilsyn. 

Direktivet skal udmøntes i dansk lovgivning, og arbejdet pågår allerede. Dette kan give mindelser tilbage til 2016, hvor databeskyttelseslovgivningen (GDPR) blev vedtaget til implementering i 2018, men vejledninger og instrukser først kom meget sent. Sikkert var det imidlertid, at der ville blive uddelt bøder ved manglende compliance. Det samme er formentlig tilfældet ved NIS2; lever virksomhederne ikke op til NIS2 i februar 2024, må der påregnes bøder.



Nyheder

01

Hvorfor skal vi interessere os for esg-rapporter?

Mange SMV´er skal frmover håndtere ESG-rapporter. ESG oversættes ofte til bæredygtighed og samfundsansvar.

» Læs mere

02

Køb af feriebolig I udlandet

Mange drømmer om at købe feriebolig i udlandet. Men hvad skal man være ekstra opmærksom på, når man køber?

» Læs mere

03

Ny bogføringslov
…med fokus på digitalisering

Folketinget vedtog i maj 2022 en ny bogføringslov, der skal tage højde for den digitale udvikling.

» Læs mere

04

Bestyrelsens ansvar og valg af ansvarsforsikring

Ved fastlæggelsen af, hvilke normer der skal gælde for ledelsen i kapitalselskaber, er der overordnet to hensyn, der står over for hinanden.

» Læs mere

05

Nis2: ny lovgivning skærper kravene til it-sikkerhed

Særlige virksomheder og offentlige myndigheder vil fremover blive underlagt strammere regler på it-sikkerhedsområdet.

» Læs mere