Bliv compliant med NIS2
Det nye NIS2-direktiv ensretter og skærper lovkravene til cyber- og informationsikkerhed på tværs af EU’s medlemslande.
Overholder du ikke de nye lovkrav, kan du få bøder, som vi kender det fra GDPR i dag.
Direktivet forventes at træde i kraft den 1. januar 2025.
Er du klar?
Er din virksomhed omfattet af NIS2?
Det nye NIS2-direktiv øger minimumskravene til virksomheder, der er omfattet af det oprindelige NIS-direktiv. Direktivet omfatter nu også flere brancher og sektorer.
Disse nye sektorer bliver omfattet:
- Transport, infrastruktur og logistik
- Fødevareproduktion - både behandling og distribution
- Spildevand og affaldshåndtering
- Post og kurertjenester
- Underleverandører til alle sektorer, der i dag er underlagt NIS
Du finder den fulde liste over virksomheder og organisationstyper her.
“Små” og “mikro”-virksomheder bliver ikke omfattet af NIS2. Det vil sige, virksomheder med færre end 50 ansatte, eller med en årlig omsætning på under 10 millioner euro (vær dog opmærksom på, at der kan komme nationale stramninger).
Visse offentlige organisationer har også fået pligt til at efterleve de skærpede krav. Det drejer sig primært om offentlige institutioner inden for sundhed samt kritisk infrastruktur og forsyning.
NIS2-aktiviteter du bør iværksætte nu
Hvor forberedt er du på NIS2? Afhængigt af dit nuværende sikkerhedsniveau, kan der være en lang vej til at blive compliant.
Se listen over de aktiviteter, som du bør iværksætte nu:
- Risikoanalyser, sikkerhedspolitikker og strategier – herunder dokumentation af samme
- Disaster/recovery og business continuity planer – kortlægning af eventuelle svagheder i den interne og eksterne data-infrastruktur
- Sårbarhedshåndtering – scanninger, mitigering, afvigelseshåndtering og eskalation
- Cybersecurity-test og auditering – herunder klare beredskabsplaner samt en strategi for hurtig genopretning
- Effektiv kryptering
- Multi-faktor autentificering
- Sikker kommunikation – tale, video og på skrift
- Sikre nødkommunikationssystemer
- Incidenthåndtering og -rapportering
- Håndtering af IT-sikkerhedsrisici fra 3. part i supply chain
- Skærpede rapporteringskrav: Første myndighedsrapportering skal ske indenfor 24 timer, herunder en handleplan, som skal følges i forbindelse med underretning om væsentlige hændelser
- Eksplicitering af ansvarsplacering på ledelsesniveau
Virksomheder, som har mere end 250 medarbejdere, er også forpligtet til at adressere risici og svagheder i forsyningskæden, inkl. risici introduceret af underleverandører.
Download gratis e-bog
Ønsker du at være på forkant med NIS2-direktivet?
Vi har samlet 7 gode råd i en e-bog, som hjælper dig på vej til at blive NIS2-compliant, inden den træder i kraft i dansk lovgivning i 2025.
kaastrup|andersen som din samarbejdspartner
Har du brug for hjælp til at omsætte de nye NIS2-krav til konkrete handlinger? Vi hjælper dig gerne videre. Ud fra dine behov sammensætter vi et unikt team af fx IT-projektledere, sikkerhedskonsulenter og IT-arkitekter. De kan blandt andet hjælpe dig med at afdække, hvilke tiltag der skal til for at løse din udfordring og sørge for intelligent træk på dine interne ressourcer, når projektet gennemføres.
Vi står altid klar til at tage en uforpligtende snak med dig om din IT-infrastruktur og sikkerhed.
Kontakt Simon Søgaard Jensen på ssj@kaastrupandersen.dk eller +45 4412 7191.