EU’s medlemslande har vedtaget en ny version af Net- og Informationssikkerhedsdirektivet (NIS2). Medlemsstaterne har indtil den 17. oktober 2024 til implementering af det nye direktiv, der kommer til at øge kravene til håndhævelse af reglerne og ensrette sanktionerne i hele EU.
NIS direktivet regulerer virksomheder og myndigheder på cyber- og informationssikkerhedsområdet. Direktivet bliver udmøntet i nationale bekendtgørelser og fungerer som bindende lov, hvilket betyder, at din organisation vil skulle efterleve kravene i bekendtgørelsen.
NIS2-direktivet udvider kravene og sanktioneringen af cybersikkerhed for at harmonisere og strømline sikkerhedsniveauet på tværs af medlemslandene, og med skærpede krav for flere sektorer, betyder det, at din organisation skal forholde sig til blandt andet risikostyring, kontrol og tilsyn.
NIS2 udvider i væsentlig grad omfanget af organisationer, og skelner mellem ”essentielle entiteter” og ”vigtige entiteter” (se samtlige sektorer i tabel nedenfor).
Omfanget af sektorer udvides, da Kommissionen ønsker at dække alle organisationer, der varetager vigtige funktioner i samfundet. Det betyder altså, at NIS2 også vil gælde for sektorer som fødevareproduktion, affaldshåndtering og hele forsyningskæden.
I energisektoren har omfanget eksempelvis været begrænset til virksomheder, der producerer, forsyner eller balancerer energi i el- og naturgassektoren. I NIS2 forventer vi, at forsyningskæden, fx vindmølleproducenter, ligeledes bliver omfattet af kravene, da direktivet forsøger at sikre en 360 graders harmonisering af cybersikkerhed.
NIS2-direktivets skærpede krav til cybersikkerhed omfatter også offentlige myndigheder - læs mere her.
NIS2-direktivet stiller både krav til ledelse, risikostyring, forretningskontinuitet og rapportering til myndighederne:
Med implementeringen af NIS2-direktivet skal myndighederne udvide tilsynet både i dybden og bredden. I dybden, fordi tilsynsmyndigheder er forpligtet til at håndhæve kravene i direktivet, og i bredden, fordi omfanget af direktivet er udvidet til at gælde flere sektorer.
Essentielle entiteter kan forvente løbende tilsyn såsom revisioner, rapportering og peer reviews, mens vigtige entiteter kan forvente tilsyn, tvungne revisioner og rapportering, hvis der er mistanke om, at organisationen ikke lever op til kravene.
Mulighed for sanktionering omfatter bl.a. bøder, tvungne revisioner, sanktionering af ledelse mv.
Konkret kan vi hjælpe med:
Har I brug for hjælp, er I velkomne til at kontakte PwC’s Technology & Security-afdeling.
PwC’s Cyberteam er en del af PwC’s Technology & Security-afdeling, som tæller op mod 200 konsulenter. Vi har derfor adgang til en lang række specialister inden for bl.a. cyber- og informationssikkerhed og kan bistå med rådgivning og vejledning – fra juridisk og forretningsmæssig rådgivning til teknisk rådgivning.
Omfattede sektorer | Type |
Energi – producenter, operatører, forsyning, distribution, transmission og salg af elektricitet, fjernvarme- og fjernkøling, olie, gas og brint, herunder operatører af ladestandere | Særlig kritisk |
Transport via luft, jernbane, vej og vand | Særlig kritisk |
Finans - kredit, handel, marked og infrastruktur | Særlig kritisk |
Sundhed – forskning, produktion, udbydere af services og fremstillere af udstyr og råvarer | Særlig kritisk |
Drikke- og spildevand – leverandører, distributører, indsamling, bortskaffelse | Særlig kritisk |
Digital infrastruktur – internetudvekslingspunkter, DNS, topdomæneadministratorer, cloudcomputing, datacentertjenester, indholdsleveringsnetværk, tillidstjenester, kommunikationsnet og kommunikationstjenester (tele- og net) | Særlig kritisk |
IKT-tjenester (B2B) – administrerende tjenester og sikkerhedstjenester | Særlig kritisk |
Offentlig forvaltning – centraladministrationen, regioner og kommuner | Særlig kritisk |
Rumfart – infrastruktur, software og services | Særlig kritisk |
Omfattede sektorer | Type |
Post- og kurertjenester – klargøring, sortering, transport og levering af post og pakker |
Kritisk |
Affaldshåndtering – opsamling, transport, gendannelse og bortskaffelse |
Kritisk |
Kemiske produkter – fremstilling, produktion og distribution |
Kritisk |
Fødevare - fremstilling, distribution og produktion | Kritisk |
Fremstilling/produktion af pharma, elektronik, optisk udstyr, maskineri, køretøjer |
Kritisk |
Udbydere af online markedspladser, søgemaskiner, sociale platforme |
Kritisk |
Se eller gense webcasten, hvor PwC's eksperter går i dybden med, hvordan CFO'en og direktionen skal forholde sig til efterlevelse af NIS2-direktivet, der regulerer de driftskritiske aktiver i jeres organisation. Du får overblik over de væsentligste elementer i NIS2, samt hvordan du finder ud af, om jeres organisation er omfattet af direktivet, og hvordan I sikrer jer, at I efterlever kravene.
Playback of this video is not currently available