Nyt cyberdirektiv NIS2 er vedtaget – hvad betyder det for din virksomhed?

EU’s medlemslande har vedtaget en ny version af Net- og Informationssikkerhedsdirektivet (NIS2). Medlemsstaterne har 21 måneder til implementering af det nye direktiv, der kommer til at øge kravene til håndhævelse af reglerne og ensrette sanktionerne i hele EU.

Hvad er NIS2-direktivet?

NIS direktivet regulerer virksomheder og myndigheder på cyber- og informationssikkerhedsområdet. Direktivet bliver udmøntet i nationale bekendtgørelser og fungerer som bindende lov, hvilket betyder, at din organisation vil skulle efterleve kravene i bekendtgørelsen.

NIS2-direktivet udvider kravene og sanktioneringen af cybersikkerhed for at harmonisere og strømline sikkerhedsniveauet på tværs af medlemslandene, og med skærpede krav for flere sektorer, betyder det, at din organisation skal forholde sig til blandt andet risikostyring, kontrol og tilsyn.

Hvem er omfattet af NIS2-direktivet?

NIS2 udvider i væsentlig grad omfanget af organisationer, og skelner mellem ”essentielle entiteter” og ”vigtige entiteter” (se samtlige sektorer i tabel nedenfor).

Omfanget af sektorer udvides, da Kommissionen ønsker at dække alle organisationer, der varetager vigtige funktioner i samfundet. Det betyder altså, at NIS2 også vil gælde for sektorer som fødevareproduktion, affaldshåndtering og hele forsyningskæden.

I energisektoren har omfanget eksempelvis været begrænset til virksomheder, der producerer, forsyner eller balancerer energi i el- og naturgassektoren. I NIS2 forventer vi, at forsyningskæden, fx vindmølleproducenter, ligeledes bliver omfattet af kravene, da direktivet forsøger at sikre en 360 graders harmonisering af cybersikkerhed.

Hvilke krav stiller NIS2 til din organisation?

NIS2-direktivet stiller både krav til ledelse, risikostyring, forretningskontinuitet og rapportering til myndighederne:

  • Ledelsen i jeres organisation skal være bekendte med kravene i direktivet og risikostyringsindsatsen. De får et direkte ansvar for, at cyberrisici bliver identificeret og håndteret samt, at kravene overholdes.
  • Øgede krav til risikostyring og robusthed betyder, at din organisation skal risikostyre og implementere både skadesforebyggende og -begrænsende foranstaltninger, der reducerer risici og konsekvenser. Minimumskrav er fx incident management, sikring af cybersikkerhed i forsyningskæder, netværkssikkerhed, adgangskontrol og kryptering.
  • Jeres organisation skal forholde sig til, hvordan I vil sikre forretningskontinuiteten i tilfælde af, at I skulle blive ramt af en større cyberhændelse. Dette indebærer eksempelvis genopretning af systemer, nødprocedurer og etablering af en kriseorganisation.
  • Jeres organisation skal have etableret processer for, hvordan I vil sikre den korrekte rapportering til myndighederne. Der stilles blandt andet krav til, at større hændelser rapporteres inden for 24 timer.

Hvordan fører myndigheder tilsyn, håndhæver og sanktionerer?

Med implementeringen af NIS2-direktivet skal myndighederne udvide tilsynet både i dybden og bredden. I dybden, fordi tilsynsmyndigheder er forpligtet til at håndhæve kravene i direktivet, og i bredden, fordi omfanget af direktivet er udvidet til at gælde flere sektorer.

Essentielle entiteter kan forvente løbende tilsyn såsom revisioner, rapportering og peer reviews, mens vigtige entiteter kan forvente tilsyn, tvungne revisioner og rapportering, hvis der er mistanke om, at organisationen ikke lever op til kravene.

Mulighed for sanktionering omfatter bl.a. bøder, tvungne revisioner, sanktionering af ledelse mv.

PwC hjælper jer med at leve op til de nye lovkrav

Konkret kan vi hjælpe med:

  • at identificere, hvorvidt I vil blive omfattet af direktivet
  • at identificere gaps i forhold til kravene i direktivet
  • implementering af både organisatoriske og tekniske krav i jeres organisation
  • at etablere de kapabiliteter, der er nødvendige for at varetage forpligtelserne i ledelsen.

Har I brug for hjælp, er I velkomne til at kontakte PwC’s Technology & Security-afdeling.

Kontakt os

 

Sådan implementerer du NIS2-kravene

Hent guiden

 

PwC’s Cyberteam er en del af PwC’s Technology & Security-afdeling, som tæller op mod 200 konsulenter. Vi har derfor adgang til en lang række specialister inden for bl.a. cyber- og informationssikkerhed og kan bistå med rådgivning og vejledning – fra juridisk og forretningsmæssig rådgivning til teknisk rådgivning.

Overblik over essentielle og vigtige entiteter

Sektor Entitet
Energi – forsyning, distribution, transmission og salg af energi
Essentiel
Transport via luft, jernbane, vej og sø Essentiel
Finans - kredit, handel, marked og infrastruktur Essentiel
Sundhed – forskning, production, udbydere og fremstillere af udstyr Essentiel
Drikke- og spildevand Essentiel
Digital infrastruktur – DNS, tillidstjenester, datacentertjenester, cloud computing, kommunikationstjenester (tele- og net), udbydere af managed services og managed security services
Essentiel
Offentlig administration, kommuner og regioner
Essentiel
Rumfart – software og services Essentiel
Sektor Entitet
Post- og pakkeservice
Vigtig
Affaldshåndtering Vigtig
Kemiske produkter – fremstilling og distribution Vigtig
Fødevare - fremstilling, distribution og produktion Vigtig
Fremstilling/produktion af pharma, elektronik, optisk udstyr, maskineri, køretøjer Vigtig
Udbydere af online markedspladser, søgemaskiner, sociale platforme Vigtig

Kontakt os

William Sharp

Partner, Technology & Security, PwC Denmark

Tlf: 8932 0076

Thomas Kristmar

Director, Technology & Security, PwC Denmark

Tlf: 3945 9860

Mila Bahir

Senior Associate, Technology & Security, PwC Denmark

Tlf: 2164 5182

Følg PwC